Aktualisiert: 05. Mai 2004
Auf dieser Seite
.gif)
Zielsetzung
Betrifft
Verwendung dieses Moduls
Zusammenfassung
Vorbereitung
Erforderliche Kenntnisse
Suchen nach Sicherheitsupdates und -patches
Suchen nach Updates und Patches auf mehreren Systemen
Spezifische Kriterien für SQL Server und MSDE
Überprüfen auf sichere Konfiguration
Zusätzliche Informationen
Weitere Quellen
Zielsetzung
Themenbereiche:
Betrifft
Die Informationen in diesem Modul gelten für folgende Produkte und Technologien:
-
Server, auf denen Microsoft® Windows® 2000 Server oder Microsoft Windows Server 2003 ausgeführt wird
-
Entwicklerarbeitsstationen, auf denen Windows 2000 (alle Versionen), Windows XP Professional oder Windows Server 2003 ausgeführt wird
-
Microsoft SQL Server 2000 einschließlich Desktop Edition (MSDE)
Verwendung dieses Moduls
Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul:
Zusammenfassung
Der Microsoft Baseline Security Analyzer (MBSA) sucht nach Updates für das Betriebssystem und SQL Server. Der MBSA scannt den Computer außerdem im Hinblick auf unsichere Konfigurationen. Bei der Prüfung von Windows Service Packs und Patches werden auch Windows-Komponenten wie Internetinformationsdienste (IIS) und COM+ berücksichtigt. Anhand einer XML-Datei manifestiert der MBSA vorhandene Updates. Diese im Archiv Mssecure.cab enthaltene Datei wird von MBSA beim Scanvorgang oder auf den lokalen PC heruntergeladen, ist aber auch vom Netzwerkserver zu beziehen.
In diesem Modul wird erläutert, wie Sie MBSA installieren und diese Software verwenden, um eine höhere Sicherheit von Computern zu gewährleisten, auf denen das Windows-Betriebssystem ausgeführt wird.
Vorbereitung
Installieren Sie MBSA mithilfe von Mbsasetup.msi in ein Programmverzeichnis. Kopieren Sie die Datei Mssecure.cab in das MBSA-Installationsverzeichnis.
Erforderliche Kenntnisse
Vor der Verwendung dieses Moduls sollten Sie folgende Punkte berücksichtigen:
-
Sie können den MBSA über die grafische Benutzeroberfläche oder über die Befehlszeile bedienen. Mbsa.exe ist die ausführbare grafische Benutzeroberfläche, Mbsacli.exe der ausführbare Befehl für die Befehlszeile.
-
MBSA verwendet zum Scannen die Ports 138 und 139.
-
Für MBSA sind Administratorrechte auf dem Computer erforderlich, der überprüft werden soll. Mit den Optionen /u (Benutzername) und /p (Kennwort) wird der zum Scannen erforderliche Benutzername festgelegt. Speichern Sie Benutzernamen und Kennwörter niemals in Textdateien wie Befehlsdateien oder Skripts.
-
Für MBSA ist die folgende Software erforderlich:
-
Betriebssystem Microsoft Windows NT®, Version 4.0 ab Service Pack 4, Windows 2000 oder Windows XP (auf Windows XP-Computern mit einfacher Dateifreigabe nur lokale Prüfung)
-
Internetinformationsdienste (IIS) Version 4.0/5.0 (erforderlich zur Prüfung von IIS-Sicherheitsrisiken)
-
SQL Server 7.0/2000 (erforderlich zur Prüfung von SQL-Sicherheitsrisiken)
-
Microsoft Office 2000/XP (erforderlich zur Prüfung von Office-Sicherheitsrisiken)
-
Folgende Dienste müssen installiert und aktiviert sein: Server-Dienst, Remoteregistrierungsdienst, Datei- und Druckfreigabe.
-
Weitere Tipps zum Arbeiten mit dem MBSA finden Sie im Abschnitt "Zusätzliche Informationen" dieses Moduls.
Suchen nach Sicherheitsupdates und -patches
Führen Sie Mbsa.exe und Mbsacli.exe mit Optionen aus, um zu überprüfen, ob Sicherheitspatches vorhanden sind.
Verwenden der grafischen Oberfläche
Verwenden Sie die grafische Benutzeroberfläche von MBSA folgendermaßen:
Der Vorteil der grafischen Benutzeroberfläche besteht darin, dass der Bericht sofort nach der Überprüfung des lokalen Computers geöffnet wird. Weitere Informationen zur Auswertung des Berichts finden Sie in den folgenden Erklärungen dieses Abschnitts.
Verwendung der Befehlszeile ("Mbsacli.exe")
Wenn Sie mithilfe des Befehlszeilenprogramms (Mbsacli.exe) nach Sicherheitsupdates und -patches suchen möchten, führen Sie den folgenden Befehl in einem Befehlsfenster aus. Dadurch wird der Computer mit der angegebenen IP-Adresse geprüft und nach fehlenden Updates gesucht:
mbsacli /i 192.168.195.137 /n OS+IIS+SQL+PASSWORD
Die Ergebnisse einer erfolgreichen Überprüfung werden ähnlich den folgenden Angaben dargestellt:
Überprüfung...
[ ] 0 o[..........] 1 von 1 Computerprüfungen abgeschlossen.
Überprüfung abgeschlossen.
Computername, IP-Adresse, Bewertung, Berichtsname
---------------------------------------------------
Arbeitsgruppe\SECNETSQL, 192.168.195.137, Hohes Risiko, Arbeitsgruppe - SECNETSQL
04.07.2003 15-01)
Sie haben die Möglichkeit, sich den Bericht mithilfe von Mbsacli.exe anzeigen zu lassen. Wesentlich einfacher ist es jedoch, die Patchinformationen über die grafische Benutzeroberfläche zu extrahieren. Der im Folgenden angegebene Befehl ermöglicht Ihnen die Anzeige des Prüfberichts mit Mbsacli.exe:
mbsacli /ld "Sicherheitsbericht.xml"
Analysieren der Datenausgabe
Auf dem Computer, auf dem Sie den Befehl Mbsacli.exe ausführen, wird im Profilverzeichnis des angemeldeten Benutzers (%userprofile%) eine Berichtsdatei erstellt. Die einfachste Methode zum Anzeigen der Berichtsergebnisse ist die Verwendung der grafischen Benutzeroberfläche des MBSA.
Suchen nach Updates und Patches auf mehreren Systemen
Mit MBSA können Sie auch mehrere Computer überprüfen. Verwenden Sie dazu die folgende Befehlszeilenoption /r.
mbsacli /r 192.168.195.130-192.168.195.254 /n OS+IIS+SQL+PASSWORD
Der genannte Befehl prüft alle Computer im Bereich von 192.168.195.130 bis 192.168.195.254.
Zur Überprüfung aller Computer innerhalb einer Domäne verwenden Sie die folgende Option /d:
mbsacli /d DOMÄNENNAME /n OS+IIS+SQL+PASSWORD
Spezifische Kriterien für SQL Server und MSDE
SQL Server-, einschließlich MSDE-Instanzen, werden einzeln überprüft und in separaten Berichten ausgewertet. Die Instanzen werden mit ihrem jeweiligen Namen angeführt, wie in Abbildung 1 dargestellt.
.jpg)
Abbildung 1
Spezifische Kriterien für SQL Server und MSDE
Überprüfen auf sichere Konfiguration
MBSA sucht nicht nur nach fehlenden Sicherheitsupdates, sondern auch nach unsicheren Systemkonfigurationen. Eine ausführliche Liste aller Prüfkriterien finden Sie in der MBSA-Dokumentation unter: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/mbsawp.asp.
Die Überprüfung der Konfigurationssicherheit ist in folgende Phasen untergliedert:
-
Ausführen des Scanvorgangs
-
Analysieren des Scanergebnisses
-
Beheben von festgestellten Problemen
Im Folgenden finden Sie eine genauere Beschreibung dieser Phasen.
Ausführen des Scanvorgangs
Führen Sie MBSA aus. Deaktivieren Sie beim Scannen die Option Auf Sicherheitsupdates überprüfen.
Analysieren des Scanergebnisses
Der resultierende Bericht ähnelt dem Bericht des zuvor ausgeführten Patchscans. Der einzige Unterschied besteht darin, dass die Verknüpfung Vorgehensweise zur Behebung vorhanden ist, wenn Probleme gefunden werden. Wenn Sie auf die Verknüpfung klicken, wird eine Seite mit Informationen zum gefundenen Problem, zur Lösung des Problems und mit Anweisungen zum Beheben des Problems angezeigt.
Vergleichen Sie die zum jeweiligen Problem angeführten Informationen mit Ihren Sicherheitsrichtlinien und befolgen Sie die Anweisungen, wenn das Problem nicht in Ihren Richtlinien enthalten ist.
Beheben von festgestellten Problemen
Wählen Sie die Verknüpfung Vorgehensweise zur Behebung. Auf der Ergebnisseite werden in der Lösung und in den Anweisungen die Schritte erläutert, mit denen sich das Problem beheben lässt.
Zusätzliche Informationen
In den folgenden Erläuterungen finden Sie Informationen zur Fehlersuche bei fehlerhaften Scanvorgängen oder zu widersprüchlichen Scanergebnissen.
Falschmeldungen bei der Überprüfung der Sicherheitsupdates
Es besteht die Möglichkeit, dass der MBSA in einigen Fällen fehlende Updates ermittelt, selbst dann, wenn Sie die Installation eines Updates gerade abgeschlossen oder die in einem Security Bulletin dokumentierten Schritte genau befolgt haben. Diese fehlerhaften Berichte können auf zwei Ursachen zurückzuführen sein:
-
Die gescannten Dateien wurden durch eine Installation aktualisiert, die nicht mit dem Security Bulletin zusammenhängt. So kann beispielsweise eine Datei, die von unterschiedlichen Versionen eines Programms verwendet wird, durch eine neuere Version aktualisiert werden. MBSA ist nicht in der Lage, die neuen Versionen zu erkennen, da sie von den erwarteten Werten abweichen, und erfasst das fehlende Update im Bericht.
-
Einige Security Bulletins werden nicht über eine Dateiaktualisierung, sondern über eine Konfigurationsänderung geregelt, die nicht überprüft werden kann. Diese Flags werden als Hinweis: oder Warnung angezeigt und sind mit einem gelben X gekennzeichnet.
Beachten Sie diese beiden Möglichkeiten und ignorieren Sie diese bei künftigen Überprüfungen.
Anforderungen für Überprüfungen per Remotezugriff
MBSA verwendet zum Überprüfen eines Computers die folgenden Netzwerkdienste:
-
Windows NT 4.0 ab SP4, Windows 2000 oder Windows XP (auf Windows XP-Computern mit einfacher Dateifreigabe nur lokale Prüfung)
-
IIS 4.0/5.0 (erforderlich zur Prüfung von IIS-Sicherheitsrisiken)
-
SQL Server 7.0/2000 (erforderlich zur Prüfung von SQL-Sicherheitsrisiken)
-
Folgende Dienste müssen installiert oder aktiviert sein: Server-Dienst, Remoteregistrierungsdienst, Datei- und Druckerfreigabe.
Wenn einer dieser Dienste oder der Zugriff auf Verwaltungsfreigaben (C$) nicht verfügbar ist, können während der Überprüfung Fehler auftreten.
Kennwortüberprüfungen:
Die Überprüfung von Kennwörtern durch MBSA ist unter Umständen sehr zeitaufwendig, je nachdem, wie viele Benutzerkonten auf dem Computer registriert sind. Bei der Kennwortüberprüfung werden alle Benutzerkonten aufgelistet und mehrere Versuche zur Änderung der Kennwörter durchgeführt. Dabei sucht das System nach typischen Schwächen bei der Definition von Kennwörtern, zum Beispiel Kennwörtern, die mit dem jeweiligen Benutzernamen übereinstimmen. Benutzer bevorzugen es in einigen Fällen, diese Prüfung vor dem Scannen der Domänencontroller auf ihrem Netzwerk zu deaktivieren. Informationen zur MBSA-Kennwortprüfung finden Sie im MBSA-Whitepaper auf der TechNet-Seite http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/mbsawp.asp unter dem Thema "Local Accounts Passwords".
Unterschiede zwischen "Mbsa.exe" und "Mbsacli.exe"
Es ist wichtig, die Unterschiede zwischen den Standardoptionen der beiden MBSA-Clients zu kennen, der grafischen Benutzeroberfläche Mbsa.exe und des Befehlszeilenprogramms Mbsacli.exe. In den oben in diesem Modul dargestellten Beispielen wurden diese Standards berücksichtigt.
Die grafische Benutzeroberfläche von MBSA ruft in der Standardeinstellung /nosum, /v und /baseline auf. Über diese Optionen werden folgende Vorgänge ausgeführt:
/nosum Bei der Überprüfung von Sicherheitsupdates werden die Prüfsummen der Dateien nicht getestet.
/v Zeigt den Code für die Ursachen des Sicherheitsupdates an.
/baseline Überprüft nur auf grundlegende Sicherheitsupdates.
Das MBSA-Befehlszeilenprogramm ruft keine Optionen auf und führt eine Standardüberprüfung durch.
Weitere Quellen
Auf der MBSA-Homepage finden Sie die neuesten Informationen zum Microsoft Baseline Security Analyzer. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/MBSAhome.asp.