Россия, Москва, Московский Государственный Открытый Университет, 2007 |
Комбинированные средства системного аудита
Начало сканирования
- Мы настроили параметры по умолчанию, используя конфигурационный DAT-файл QuickScan.dat, и сканируем две системы. Выбрав машины для сканирования, вы должны вернуться в главное окно STAT Scanner ( рис. 12.9). Машины, которые вы выбрали в процессе поиска, теперь отображаются в левой части панели. Выберите все системы, которые вы хотите просканировать.
- Выберите Analysis/Perform An Analysis, чтобы начать сканирование.
- В окне STAT Scanner, показанном на рис. 12.13, вы можете увидеть результаты сканирования. По умолчанию уязвимости сортируются в соответствии с фактором риска. Вы можете быстро просмотреть, какие из них можно исправить с помощью функции AutoFixes.
- Щелкните дважды на конкретной показанной уязвимости и вы сможете получить дополнительную информацию, как это видно на рис. 12.14. Это окно предоставляет информацию, которая может вам помочь принять решение о дальнейших действиях. Помните, что даже если большинство сообщений в отчете STAT говорят о проблемах, которые должны быть устранены, многие из предупреждений с низким уровнем риска, которые выдает STAT, являются просто наведенными из-за особенностей конфигурации и политики безопасности. Иногда они могут быть всего лишь ложной тревогой.
- Перед тем как вы попытаетесь устранить любую из уязвимостей, о которых сообщил STAT, убедитесь, что это не нарушит деятельности выполняемых приложений. К примеру, STAT может предупредить вас о том, что работает IIS, и он должен быть остановлен, если в нем нет необходимости. Но если вы запустили Web-сервер на этой машине, вы можете игнорировать это сообщение. Тем не менее, если STAT сообщает вам о том, что у IIS есть опасность переполнения буфера, и он должен быть немедленно обновлен с использованием соответствующих заплаток, то это сообщение относится к таким, на которые следует реагировать достаточно быстро. Также будьте внимательны к сообщениям STAT, касающимся системного реестра. Некоторые изменения в системном реестре могут привести к нежелательному эффекту, поэтому, исправляя их, вы должны быть уверены, что это не повлияет на работу ваших приложений. Как только вы определите, что вам необходимо устранить уязвимость, щелкните на кнопке AutoFix, если она доступна, или следуйте инструкции по решению проблемы, которая отображается в окне дополнительной информации (см. рис. 12.14), чтобы устранить проблему самостоятельно.
- Щелкните на кнопке Retest, после того как вы устраните уязвимость, чтобы убедиться в том, что это действительно выполнено.
Поскольку вы управляете сканированием, STAT сохраняет историю каждого сканирования (как и историю каждого факта использования AutoFix). Это позволяет вам проследить, что вы сделали, и когда это было сделано, а также позволяет сравнить результаты сканирования, чтобы определить, когда были исправлены определенные уязвимости.
Использование отчетов
У STAT много форматов и параметров отчетов, доступных в меню Reports. Выберите формат, отметьте одно из проведенных сканирований, и STAT создаст отчет. На рис. 12.15 показан отчет Executive Summary.
Вы можете распечатать отчет, или экспортировать его в какой-либо из файлов, включая форматы Excel, CSV (comma-separated value), Crystal Reports, HTML, MS Access, Word или даже простой текст.
Если вы щелкните на Reports/Compare Scan Results, то сможете увидеть список проведенных сканирований. В этом диалоге вы можете выбрать несколько сканирований и создать отчет, сравнивающий результаты сканирования. Это позволяет анализировать изменения, которые произошли от одного сканирования до другого.