Microsofts Baseline Security Analyzer (MBSA) stellt aus Sicht des Herstellers eine Möglichkeit dar, häufig auftretende Sicherheits-Fehlkonfigurationen in Systemen zu entdecken und zu korrigieren. Erstmals präsentiert wurde MBSA im Frühjahr 2002, seit Ende Januar ist Version 1.2 der Software verfügbar (http://www.microsoft.com/technet/security/tools/mbsahome.mspx). Seitdem können Anwender auch zwischen einer englischen, französischen, japanischen und deutschen Fassung wählen. Die unter Windows 2000, XP und Server 2003 lauffähige Software unterstützt weit verbreitete Microsoft-Produkte wie Windows NT 4, 2000, XP und Server 2003, Internet Information Services oder SQL Server.
Sind Patches installiert?
Außerdem ist das Tool in der Lage, je nach den installierten Programmen zu überprüfen, ob verfügbare Updates oder Patches installiert sind. Dabei nutzt eseine Technik, die der Anbieter Shavlik Technologies entwickelt hat und die auch Bestandteil von dessen Patch-Management-Lösung "HFNetChkPro" ist.
Mit der neuesten Version hat Microsoft das Spektrum der von MBSA unterstützten Software ausgedehnt. Neu hinzugekommen sind "Microsoft Office", "Exchange Server 2003", "Biztalk Server" (2000, 2002 und 2004), "Commerce Server" oder "Content Management Server". Auch die "Microsoft Virtual Machine", die "Data Access Components" (MDACs) und die "Internet Connection Firewall" (ICF) werden nun auf ihre Einstellungen beziehungsweise fehlende Updates hin untersucht. Nach Angaben von Rob Wickham, Program Manager in Microsofts Security Business and Technology Unit, deckt MBSA "etwa 40 Prozent" aller Produkte ab, zu denen der Hersteller Security-Bulletins veröffentlicht. Eine ausführliche Liste sämtlicher Programme findet sich in einem White Paper, das der Hersteller unter http://www.microsoft.com/technet/security/tools/mbsawp.mspx anbietet.
Das Tool kann auf einem zentralen Rechner installiert werden, um von dort aus bis zu 10000 Rechner gleichzeitig zu untersuchen. Die Software kommt dabei laut Wickham ohne Agenten aus. Voraussetzung für das Fern-Scannen sind lokale Administratorrechte auf den Zielsystemen. Nach dem Starten des Tools lassen sich einzelne Rechner entweder über ihren Namen oder die IP-Adresse gezielt ansprechen. Wenn mehrere Maschinen gleichzeitig überprüft werden sollen, können Administratoren den entsprechenden Domänennamen eingeben oder aber die in Frage kommenden Systeme mit Hilfe des jeweiligen IP-Adressbereichs eingrenzen. Zu beachten ist, dass in Umgebungen mit mehreren Domains, die via Firewall oder einem Router getrennt sind, die TCP-Ports 139 und 445 sowie die UDP-Ports 137 und 138 zu öffnen sind, da ansonsten MBSA nicht fehlerfrei läuft.
Sind Passwörter sicher?
Die Überprüfung des Vorhandenseins kritischer Sicherheits-Updates erfolgt unter Zuhilfenahme einer XML-Datei (mssecure.xml), die Microsoft laufend aktualisiert und die vor Beginn des Checks geladen wird. Dieses File enthält Informationen, ob Patches für bestimmte Produkte zur Verfügung stehen, welche Dateien ein Update beinhaltet oder in welchen Security-Bulletins sich Informationen zu einer entdeckten Schwachstelle finden. Nachdem MBSA das Betriebssystem und die installierten Anwendungen auf dem Zielrechner ermittelt hat, untersucht es anhand der entsprechenden Einträge in der Registry, der Dateiversionen und gegebenenfalls mit Hilfe von Checksummen, ob ein Update vorhanden ist.
Werden im Unternehmen Microsofts "Software Update Services" (SUS) genutzt, lässt sich über die Benutzeroberfläche die Adresse des entsprechenden lokalen SUS-Servers angeben. Das Tool bezieht dann von diesem die in der Datei "ApprovedItems.txt" enthaltene Liste der von den Sicherheitsexperten getesteten oder zugelassenen Sicherheits-Updates und konzentriert sich bei den anschließenden Tests ausschließlich auf diese.
Daneben untersucht MBSA aber auch generelle Einstellungen der Zielsysteme auf mögliche Schwachstellen: So überprüft es, ob mehr als zwei lokale Administrator-Konten auf einem System eingerichtet sind, ob das lokale Auditing (Protokollieren bestimmter Systemereignisse) aktiviert ist, ob nicht benötigte Dienste wie Telnet, FTP oder SMTP vorhanden sind (die ein Angreifer missbrauchen könnte), welche Freigaben vorhanden sind oder wie die Einstellungen für die verschiedenen Passwörter aussehen.
Was ist zu tun?
Jeden einzelnen Punkt bewertet das Tool und erklärt, welche Probleme in diesem Zusammenhang entstehen könnten. Außerdem bietet MBSA Hinweise, wie sich ein Defizit beseitigen lässt. Dank der verwendeten Symbole können sich Administratoren schnell einen Überblick über die Gefahrensituation verschaffen. Unter Berücksichtigung der Unteraspekte fällt die Software schließlich ein Gesamturteil für jeden Rechner, in dem das aktuelle Sicherheitsrisiko bewertet wird.
MBSA bietet keine Funktionen zum Verteilen von Patches oder dem Einspielen von Software-Updates. Es lässt sich aber nach Angaben von Microsoft in Verbindung mit Lösungen wie "Windows Update Services", "Systems Management Server" oder Tools von Drittanbietern (zum Beispiel Altiris, Patchlink oder Shavlik) einsetzen, um diese Aufgaben zu erledigen.
Das kann MBSA 1.2:
- Überprüft einen oder mehrere Rechner auf Sicherheitskonfigurationen von weit verbreiteten Microsoft-Produkten,
- checkt, ob Security-Updates installiert sind,
- erklärt die gefundenen Ergebnisse,
- bewertet die gescannten Systeme,
- gibt Hinweise zur Behebung der gefundenen Schwachstellen.