mbsacli 로 MBSA 자동화하기
MBSA 2.1.1 최신버전이 나왔습니다. 매월 MBSA를 이용하여 자체적인 서버 보안감사를 실시하고 있습니다. 하지만 스캐닝하는데 시간도 많이 거리고 번거롭기도 해서 일부 서버를 대상으로 샘플링으로 MBSA 스캐닝을 하고 있는 중이지요.. 하지만 보안취약점 점검을 소수의 서버만 한다는 것이 마음에 걸리더군요..
그래서 MBSA로 서버 감사하는것을 자동화할 방법은 없을까 찾아보게 되었습니다. MBSA프로그램을 설치하면 함께 제공되는 mbsacli.exe를 이용해서 배치작업을 돌리는 것이 가능하더군요... 배치작업을 돌리면 스캐닝하는 서버의 수를 크게 늘릴수가 있고 작업 시간도 빨라지게 됩니다. 사실 분석하는 것보다 스캐닝하는 시간이 대부분을 차지하기 때문에 어려움이 있었습니다. 이것을 배치작업으로 특정 공유폴더에 감사결과 report파일을 업로드하게 해두도면 시간과 노력을 크게 줄일수가 있게 되는거죠..
▶ MBSA의 설치
1. 일단 최신 MBSA 버전을 다운로드 받습니다.
(OS버전에 맞는 것을 다운로드합니다 영문으로... 한글버전은 존재하지 않으니까요... )
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=b1e76bbe-71df-41e8-8b52-c871d012ba78
2. MBSA를 설치합니다. 배치작업을 편리하게 하기위해서 설치 디렉토리를 단순하게 하는것이 좋습니다.
예) c:\mbsa2\
▶ MBSA 리포트업로드를 위한 공유폴더 생성
1. Report 업로드를 위한 공유폴더를 생성합니다.
예) \\192.168.168.15\MBSA_Report\
2. 공유권한을 설정합니다. (이때 일반 사용자들은 접근이 안되도록 해야합니다.)--> 중요
일반 사용자가 서버의 중요한 감사결과파일을 볼수있다면 정말 곤란한 노릇이지요...
▶ MBSA 리포트업로드를 위한 배치파일 생성
1. 배치파일을 작성합니다.
=====================================================
c:
cd c:\mbsa2\
mbsacli /target 127.0.0.1 /wi > \\192.168.168.15\mbsa_report\%COMPUTERNAME%-%date%.txt
=====================================================
-> 위 배치파일은 공유폴더에 스캐닝한 컴퓨터이름과 날짜로된 report파일을 업로드하게 해줍니다.
변수를 잘 몰라서 %hostname%을 넣고 안되어서 고민을 많이 했었습니다.
-> /wi 옵션은 모든 보안패치를 전체적으로 점검해주는 옵션입니다.
세부 옵션은 mbsacli /? 라고 치시면 나오지요..
-> 배치파일에서 변수입력을 어떻게 받는지 연구하시면 유용한 작업을 많이 할 수있답니다.
2. 만들어진 배치파일이 잘 작동하는지 확인후에 스케쥴 작업을 걸어줍니다.
매월 1회씩만 하면 되겠죠? 대략 20일 경에 스캐닝을 하면 좋을 것 같습니다.
1-2일 정도 분석해서 25일내에 감사결과를 리포트로 작성해서 제출하려면 말이죠...
3. 위 과정을 다른 서버들에서도 동일하게 반복해줍니다.