運用
Microsoft Baseline Security Analyzer 1.2日本語版(前編)

1.MBSA 1.2の入手方法と必要環境

デジタルアドバンテージ
2004/01/28

MBSA 1.2日本語版の入手方法

 MBSAは、マイクロソフトの以下のWebサイトから無償で入手できる。ホワイト・ペーパー(機能概要などを解説したドキュメント)やQ&A(よくある質問と回答)などのドキュメントの場所についても以下にまとめておく。

MBSAがインストール可能なWindows環境

 MBSAをインストールするには、以下のいずれかのWindows環境が必要である。

Windows OS
Windows 2000 Server
Windows 2000 Professional
Windows XP Home Edition
Windows XP Professional
Windows Server 2003
MBSA 1.2をインストールして実行するための必要環境

 このようにMBSAは、Windows 2000以上のNTベースOS(フル32bitカーネルを持つWindows OS)にインストールすることができる。逆にいえば、Windows 95やWindows 98、Windows Meなどの9x系Windowsや、Windows NT 4.0にはインストールできない。

 またMBSAはInternet Explorer(以下IE)をコンポーネントとして使用するため、実行環境にはIE 5.01以上が必要だ。またMBSAは、スキャンした情報などをXML形式で保存したり、XML形式で保存した情報を表示したりするために、XMLパーサーを利用している。このためMBSAをインストールする環境には、最新バージョンのXMLパーサーをインストールしておくことが推奨されている。最新のXMLパーサーは以下のサイトから入手できる。

MBSAでスキャン可能なWindows環境

 前述したとおり、Windows NT 4.0にMBSAをインストールすることはできないが、Windows NT 4.0環境をスキャンすることは可能である(つまりWindows NT 4.0についてはローカル・スキャンではなく、リモート・スキャンのみ可能。ただし、HFNetChkモード(後述)ならローカル・スキャンも可能)。ただしWindows 9x系OSについては、インストールもできなければ、スキャンもできない。

Windows OS
Windows NT 4.0 Server
Windows NT 4.0 Workstation
Windows 2000 Server
Windows 2000 Professional
Windows XP Professional
Windows Home Edition
Windows Server 2003
MBSA 1.2でスキャン可能なWindows環境

 MBSAは、Windowsのネットワーク・ファイル・サービスや、リモート・レジストリ・サービスを通してホットフィックスの適用状況を調査している。このためMBSAをインストールして利用する環境ではWorkstationサービスが(ネットワーク・クライアント向けのサービス)、MBSAによってスキャンされる環境ではServerサービス(ネットワーク・サーバ向けサービス)とリモート・レジストリ・サービス(リモートからのレジストリ参照を可能にするサービス)がそれぞれ正しく稼働していなければならない。従ってMBSAをインストールしたコンピュータで自分自身をスキャンする場合には、WorkstationサービスとServerサービスの双方が必要である(この場合はリモート・レジストリ・サービスは使わない)。

 またMBSAでは、レジストリの内容やシステム・ファイルをスキャンする必要があるため、MBSAを実行するユーザーは、スキャン対象となるコンピュータの管理者権限(ローカル・コンピュータの管理者権限)が必要である。

MBSA 1.2でスキャン可能なソフトウェア

 MBSAを利用して、次のソフトウェアに対するホットフィックスの適用状況をスキャンできる。従来版のMBSA 1.1.1と比較すると、Exchange Server 2003、Office、MDAC、Microsoft VM、MSXML、BizTalk、Commerce Server、Content Management Server、Host Integration Server、SNA Serverのサポートが追加された。

スキャン可能なソフトウェア製品
Windows 2000
Windows XP
Windows NT 4.0(リモート・スキャンのみ)
Windows Server 2003
Internet Explorer 5.01以降
Windows Media Player 6.4以降
IIS 4.0/5.0/5.1/6.0
SQL Server 7.0/2000(Microsoft Data Engine を含む)
Exchange 5.5/2000(Exchange管理ツールを含む)
Exchange Server 2003
Office(ローカル・スキャンのみ)
MDAC 2.5/2.6/2.7/2.8
Microsoft VM(Java仮想マシン)
MSXML 2.5/2.6/3.0/4.0
BizTalk Server 2000/2002/2004
Commerce Server 2000/2002
Content Management Server 2001/2002
Host Integration Server 2000/2004/SNA Server 4.0
MBSA 1.2でスキャン可能なソフトウェア製品

 ただし、スキャン対象のコンピュータに当該ソフトウェア製品がインストールされていない場合、そのソフトウェアに対する検査は実施されず、レポートもされない。また現行のMBSA 1.2では、FrontPage Server ExtensionsやOutlook Expressはスキャンの対象にはならない。いずれのソフトウェアも、過去に重大なセキュリティ・ホールが複数見つかったソフトウェアなので、これらを利用している場合には注意が必要である。

セキュリティ上の弱点のチェック

 HFNetChkとMBSAの大きな違いは、MBSAでは、ホットフィックスの適用状況検査に加えて、システムのセキュリティ上のさまざまな弱点をチェックする機能が提供されていることだ。具体的には、Windowsシステム、IIS、SQL Server、デスクトップ・アプリケーションに対し、次の項目が検査され、レポートされる。ホットフィックスだけでなく、ネットワークに内在するリスクを総合的に評価することができる。

検査項目 検査内容
Windowsシステム関連
アカウント・パスワードの有効期限 パスワードが無期限のローカル・アカウントが存在しないか
ファイル・システムの種類 NTFSファイル・システムが使用されているか
自動ログオン機能 自動ログオンが有効か、パスワードがレジストリに暗号化保存されているか
Guestアカウント 対象コンピュータにおいて、ビルトインのGuestアカウントが有効になっているか
RestrictAnonymousレジストリ・キーの設定 匿名ユーザーの接続が許可されているか
ローカル管理者アカウント数 Administratorsグループに登録されているユーザー数は何ユーザーか(2つ以上で潜在的な脆弱性の可能性をレポート)
ローカル・ユーザー・アカウント・パスワード 空白または類推が容易なパスワードが設定されていないか
不要なサービス MBSAのガイドラインと比較し、不要なサービスが実行されていないか
コンピュータ上に存在する共有の一覧 対象コンピュータに共有フォルダがあるか
Windowsの監査 ログオンの成功や失敗などの監査機能は有効になっているか
Windowsバージョン 対象コンピュータのWindowsバージョンは何か
ICF(インターネット接続ファイアウォール) ICFが有効かどうか
自動更新 Windows UpdateまたはSUSを利用した自動更新が有効かどうか
IIS関連
IIS Lockdown ツール IISのセキュリティを強化するLockdownツール(Ver.2.1)が実行されているか
IISサンプル・アプリケーション ときに弱点となる場合があるサンプル・アプリケーションがインストールされているか
IISの親パス 現在ディレクトリの親パスへのアクセスを許容しているかどうか(AspEnableParentPaths設定が有効かどうか)
IIS Admin仮想フォルダ 対象コンピュータにIISADMPWDディレクトリがインストールされているかどうか(IIS 4.0では、パスワードの有効期限切れをこの仮想フォルダ内のファイルでユーザーに通知している)
MSADC、Scripts仮想ディレクトリ 対象コンピュータにMSADCのサンプル・スクリプトやScript仮想ディレクトリがインストールされているかどうか
IISログ IISのアクセスログが有効かどうか
ドメイン・コントローラ上でのIIS稼働 ドメイン・コントローラとIISを同一コンピュータで実行しているか(実行しないことを強く推奨)
SQL Server関連
Sysadminロール ビルトインのAdministratorsグループがSysadminロールのメンバーとして指定されているか
CmdExecロール CmdExecロールがSysadminのみに制限されているか
ドメイン・コントローラ上でのSQL Serverの稼働 ドメイン・コントローラとSQL Serverを同一コンピュータで実行しているか(実行しないことを推奨)
saアカウントのパスワード sa(system administrator)アカウントのパスワードが公開されているか
SQL Serverインストール・フォルダのアクセス許可 SQL Serverインストール・フォルダへのアクセスがSQL Serverサービス・アカウントまたはローカルAdministratorのみに制限されているか
Guestアカウント Guestアカウントにデータベースへのアクセス権があるか
Everyoneグループのアクセス権 EveryoneグループにSQL Serverレジストリ・キーへのアクセス権があるか
SQL Serverのサービス・アカウント SQL Serverのサービス・アカウントがローカルAdministratorsグループのメンバーであるか
SQL Serverアカウントのパスワード SQL Serverアカウントのパスワードが空白または簡易なパスワードでないか
SQL Server認証モード 対象コンピュータで使われているSQL Server認証モードの種類は何か
Sysadminロールのメンバー数 Sysadminロールのメンバー数はいくつか
デスクトップ・アプリケーション関連
IEセキュリティ・ゾーン 各ローカル・ユーザーのIEセキュリティ・ゾーン設定の検査
IEセキュリティ強化の構成(管理者) Windows Server 2003において、管理者用のIEセキュリティ強化の構成が有効になっているか
IEセキュリティ強化の構成(管理者以外) Windows Server 2003において、管理者以外のユーザーに対してIEセキュリティ強化の構成が有効になっているか
Office製品セキュリティ・ゾーン 各ローカル・ユーザーのOffice製品セキュリティ・ゾーン設定の検査
検査項目一覧
 

 INDEX
  [運用]
  Microsoft Baseline Security Analyzer 1.2日本語版(前編)
  1.MBSA 1.2の入手方法と必要環境
    2.MBSA 1.2の動作原理と動作モード
  Microsoft Baseline Security Analyzer 1.2日本語版(後編)
    1.GUIモードによるMBSAの実行
    2.コマンド・モードによるMBSAの実行
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT