■MBSA 1.2を利用して脆弱性をチェックする方法
コンピュータのセキュリティを保つには、日ごろからの修正プログラムの適用やInternet Explorer(IE)の設定変更(ActiveXやスクリプトの実行を制限するなど)、ゲスト・アカウントの削除など、守らなければならないことがあります。こうした設定は、ポリシーや資産管理ツールなどを用いて、ネットワーク上のコンピュータに対して一括で行うことも可能ですが、一般的には各コンピュータ上で設定していることが多いのではないでしょうか。管理しているコンピュータの台数が多い場合、設定を行うことも大変ですが、その設定が常に保たれていることを確認するのも大変な作業です。特にIEの設定などは、いちいちダイアログ・ボックスが表示されるのが面倒なため、ユーザーが勝手にActiveXやスクリプトの実行を許してしまう、といったこともあります。こうした設定変更を許さないようにユーザーを教育することはもちろんのこと、セキュリティ的に脆弱な設定に変更されていないことを監視し、変更があった場合は警告することが重要です。
とはいえ、各コンピュータ上で設定をチェックするのは現実的ではありません。こうした用途で便利なツールがマイクロソフトから提供されています。以前から修正プログラムの適用状態などをチェックできるツール「HFNetChk」が無償で提供されていましたが、HFNetChkはコマンドライン・ツールであったため、手軽なものとはいえませんでした。そこでHFNetChkをベースにグラフィカル・ユーザー・インターフェイスを付け、パスワードの脆弱性(類推が容易なパスワードが使われていないか)やInternet
Explorerのセキュリティ設定なども同時にチェックするように拡張されたツールが「Microsoft Baseline Security Analyzer(MBSA)
V1.2」として新たに提供されました。ただし2004年2月24日現在、MBSA V1.2用として提供されている日本語環境向けデータベースは日本語化されていません(MBSA
1.2のプログラム自体は最終版とのことです)。そのため、リンク先などが英語のTechNetセキュリティ情報になっているなど不便な点もありますが、診断は可能です。
・MBSA V1.2 日本語版のダウンロード・ページ:
http://www.microsoft.com/downloads/details.aspx?FamilyID=8b7a580d-0c91-45b7-91ba-fc47f7c3d6ad&DisplayLang=ja
・MBSA V1.2の使い方
MBSA V1.2のインストールは、ダウンロードしたMBSASetup-ja.msiを実行し、ウィザードの指示に従えば簡単に行えます。起動は、[スタート]メニューに[Microsoft
Baseline Security Analyzer 1.2]のメニューが追加されるので、ここを選択します。起動すると、「Microsoft Baseline
Security Analyzer へようこそ」の画面が現れます。ここで[単一のコンピュータをスキャンする][複数のコンピュータをスキャンする]のどちらかを選択します。[単一のコンピュータをスキャンする]では、ネットワーク上の1台のコンピュータ(インストールしたコンピュータを含む)のスキャンが可能です。NetBIOS名(ドメイン名\コンピュータ名)やIPアドレスで指定します。同様に[複数のコンピュータをスキャンする]では、ネットワーク上の複数のコンピュータをスキャン可能です。ドメイン名やIPアドレスの範囲で指定します。
MBSA V1.2が対応しているWindows環境は以下のとおりです。Windows 98/98 SE/Meは、インストールとスキャンのどちらも対応していないので注意してください。また、レジストリの内容やシステム・ファイルをスキャンするため、MBSA
V1.2を実行するユーザーは、スキャン対象のコンピュータの管理者権限(ローカル・コンピュータの管理者権限)が必要です。
MBSA V1.2でスキャン可能なWindows環境 |
Windows NT Server 4.0 |
Windows NT Workstation 4.0 |
Windows 2000 Server |
Windows 2000 Professional |
Windows XP Professional |
Windows XP Professional |
Windows Home Edition |
Windows Server 2003 |
スキャンするコンピュータを指定したら[スキャンを開始する]をクリックします。これでスキャンが開始され、レポートが表示されます。ネットワークの帯域やスキャン対象のコンピュータの性能、スキャン・オプションによっても異なりますが、DA
Labでテストしたところ、約150台のコンピュータをスキャンするのに20分ほどかかりました(デフォルト指定のフル・スキャン・オプション選択時)。MBSA V1.2のスキャンによって、ネットワーク帯域が圧迫される可能性もありますので、スキャンする時間帯などにご注意ください。
MBSA 1.2でスキャン可能なソフトウェア製品 |
Windows 2000 |
Windows XP |
Windows NT 4.0(リモート・スキャンのみ) |
Windows Server 2003 |
Internet Explorer 5.01以降 |
Windows Media Player 6.4以降 |
IIS 4.0/5.0/5.1/6.0 |
SQL Server 7.0/2000(MSDEを含む) |
Exchange 5.5/2000(Exchange管理ツールを含む) |
Exchange Server 2003 |
Microsoft Office(ローカル・スキャンのみ) |
MDAC 2.5/2.6/2.7/2.8 |
Microsoft VM(Java仮想マシン) |
MSXML 2.5/2.6/3.0/4.0 |
BizTalk Server 2000/2002/2004 |
Commerce Server 2000/2002 |
Content Management Server 2001/2002 |
Host Integration Server 2000/2004/SNA Server
4.0 |
・スキャンするコンピュータをファイルで指定する方法
MBSA V1.2にはコマンドライン・モードが用意されており、以下のようにコマンドラインを用いると、指定したコンピュータのみにスキャンを実行することが可能になります。mbsacli.exeに-hfオプションを付けて実行した場合、HFNetChk互換モードとなります(-hfオプションはHFNetChk互換モードでのみ指定可能です)。
C:\Program Files\Microsoft Baseline Security >mbsacli
-hf -fh <ファイル名1> -f <ファイル名2> |
<ファイル名1>には、スキャンしたいコンピュータのリストを記述したテキスト・ファイルを指定します。リストは、各行に1つずつコンピュータ名を記述しておきます。この際、ドメイン名を含めずに、コンピュータ名のみとする点に注意してください。<ファイル名2>には、出力先ファイル名を指定します。HFNetChk互換モードでは、ファイルへ出力されないので、-fオプションとともに出力ファイルを指定するようにしてください。
さらに細かいオプションなどについては、以下のTechNetセキュリティのMBSA V1.2に関するページを参照してください。
・TechNetセキュリティ(Microsoft Baseline Security Analyzer V1.2):
http://www.microsoft.com/japan/technet/security/tools/mbsahome.asp
・TechNetセキュリティ(Microsoft Baseline Security Analyzer (MBSA) Version 1.2 Q&A):
http://www.microsoft.com/japan/technet/security/tools/mbsaqa.asp
・TechNetセキュリティ(ホワイト ペーパー : Microsoft Baseline Security Analyzer V1.2):
http://www.microsoft.com/japan/technet/security/tools/mbsawp.asp
|