無料のMBSA 2.0を使ってWindowsのセキュリティ状態,脆弱性を調べる
0.改訂履歴
- 2005.08.15 新規作成
1.はじめに
このドキュメントでは,Micrsoftが無償で提供するMBSA2.0を利用する手順を説明する.
MBSA2.0とは,Microsoft Baseline Security Analyzer2.0の略で,ネットワーク上にあるWindowsマシンの脆弱性を検査するものです. 具体的には,適切なセキュリティパッチが適用されているか否かを検査する事ができます.
検査できる対象の概略は次の通り.
- アップデータの未適用の検査
- Windows 2000 SP4以降のOSとそれに関わるコンポーネント
- Microsoft Office XPとそれ以降のバージョン
- Microsoft Exchange Server 2000以降のバージョン
- Microsoft SQL Server 2000 SP4と以降のバージョン
- 設定ミスについて
- Windows ファイアウォールは有効か
- 自動更新は有効か
- 強力なパスワードの使用を強制しているか
- セキュアでないゲスト アカウントが有効になっているか
- MBSAが2.0になった部分での特徴は次の通り.
- 深刻度の評価
- Microsoft Office XP のセキュリティ更新プログラムのローカル スキャンおよびリモート スキャン
- 更新プログラムのダウンロードや適切な対応を行うためのガイド
- サポートされている更新プログラムの CVE-ID
- ヘルプ コンテンツの強化
- Windows Server Update Services との互換性
- Microsoft Update の自動登録およびエージェントの更新
- Windows XP Embedded および 64 ビット版 Microsoft Windows の更新プログラムの検出
以前のバージョンでは,SUS(Software Update Service)に対応していた部分が,先頃発表されたMicrosoft Updateに変更されているのが大きな違いだと考えられる.
MBSA2.0でのスキャン対象となる製品については,以下のURLで確認できる
- Microsoft Baseline Security Analyzer (MBSA) 2.0 について
無償で提供されているという事もあり,Windowsマシンを多く抱えるネットワーク管理者はこれを入手して実行してみるべきだと考えている.
2.モジュールの入手とインストール
- MBSAのモジュールは以下のURLから入手できる.
- Microsoft Baseline Security Analyzer 2.0
- http://www.microsoft.com/japan/technet/security/tools/mbsa2/default.mspx
- Microsoft Baseline Security Analyzer 2.0
- この時に,正規のWindowsを利用しているかチェックされる.
- 入手したモジュールは以下の通りでWindows Installer形式になっているので,そのままインストールを実行する.
3.脆弱性スキャンを実行する
- インストールが完了したら,スキャンを実行してみる.
- まずはプログラムを起動する.
- 次のような画面が表示される.
- 今回は「単一のコンピュータ」として自分自身をチェックする.
- なんだかいっぱい見つかった.
- 不合格箇所の詳細を確認する.
- 不合格問題の換券によっては,修正方法まで記述をしている.
- ここでは「IEのゾーン」に不合格点があるが,[修正方法]をクリックすると,次のような画面が表示される.
- 全体的な評価は,左ペインでレポートを選択する.
- 危険だと.