運用
|
|
|
ファイアウォールが有効な場合のレポート結果
|
Windows XP SP2やWindows Server 2003にはWindowsファイアウォール機能が組み込まれており、不必要な外部からの通信要求はすべてブロックされるようになっている。そのため、MBSAでリモートからスキャンするためには、ファイアウォールにいくつか例外ルールを設定しておかなければならない。このために必要な具体的なポート番号としては、「ファイルとプリンタ共有」や「リモート管理」といった標準的なポートだけである(ファイアウォールの使い方については関連記事を参照)。これはMBSA 1.2のときと同じである。具体的なポートについては前編を参照していただきたい。
だがこれらのポートを空けていても、MBSA 2.0でWindows XP SP2やWindows Server 2003をスキャンすると次のようなエラーが表示されることがある。
このメッセージに対する対策は、「MBSA 2.0 よく寄せられる質問(FAQ)」というドキュメントにいくつか記述されている。
■方法1――COM+の修正アップデータをインストールする
このドキュメントによると、COM+用の修正アップデータをインストールすればこのエラーが出なくなるとのことである。だがこの修正モジュールはまだ一般には公開されておらず、マイクロソフトのProduct Support Services に連絡して入手する必要がある、特別なモジュールである。残念ながらサポート契約を結んでいない場合には、簡単に入手することはできない(将来のService Packなどで提供される予定)。
■方法2――DCOM+用の静的なポートを設定する
FAQドキュメントによると、DCOM+で静的なポートを使用するように設定し、ファイアウォールでそのポートを空けておく、という方法が紹介されている(管理ツールの[コンポーネント サービス]を利用する方法も、レジストリで設定する方法も、結果は同じ)。だが手元で試した限りでは、この方法ではエラーは解消されず、スキャンできなかった。
■方法3――dllhost.exeを通過するようにファイアウォールを設定する
これはMicrosoftの公開ニュース・グループ(microsoft.public.security.baseline_analyzer)に投稿されている情報である。Windowsファイアウォールの[プログラムの追加]機能を使って、「dllhost.exe」というプログラム(デフォルトでは%WINDIR%\SYSTEM32\dllhost.exe)に対して例外ルールを設定する。
dllhost.exeはシステムの基幹となるファイルであり、これに対してすべてのアクセスを許可するというのは少し乱暴かも知れないが、とりあえずこの方法を使えばリモートからスキャンできることは確認できた。ただしこれはマイクロソフトの公式な情報・見解ではないことを十分理解した上で参考にしていただきたい。
[注意] |
この情報に基づいて運用した結果、何らかの障害が発生した場合でも、本Windows Server Insider編集部では責任を負いかねますので、ご了承ください。 |
■方法4――ファイアウォールを無効にする
ファイアウォールを無効にすればこの問題は発生しない。だがその分システムが脆弱になるのは避けられないので、その意味をよく理解して実行していただきたい。
コマンドライン・モードでMBSAを実行する
MBSAには、GUI版(mbsa.exe)のほかに、コマンドライン版のツール(mbsacli.exe)も用意されている。従来のものと比べると、同時に複数のインスタンスを起動して実行する機能とか(従来はGUIでもCUI版でも、どれか1つしか動かせなかった)、IPアドレス・リストを使ったスキャン機能、オフライン環境でのスキャン(あらかじめカタログ・ファイルをダウンローしておいて、オフラインでスキャンする)などが強化されている。以下にいくつかの例を示しておくが、詳細についてはヘルプ・ファイルや、「mbsacli /?」で表示されるヘルプ・メッセージ参考にしていただきたい。
IPアドレス・リストを使ったスキャンの例
スキャンする対象コンピュータのIPアドレスをテキスト・ファイルとして用意しておき、それをパラメータとして与えると、自動的にスキャンを行わせることができる。従来はIPアドレスの範囲やリストをパラメータとして渡す必要があった。ただし複数指定しても、マルチスレッドで動作するわけではなく、1台ずつ順番に処理される。並行処理したければ、同時に複数のツールのインスタンスを起動するなどの処理を行えばよい。
C:\>type targets.txt …スキャンするターゲットのIPアドレス |
コマンドラインからの簡易スキャン
コマンドライン・オプション「/xmlout」を使用すると、MBSAがインストールされていなくても、mbsacli.exeとwusscan.dllだけがあれば、ローカル・スキャンができる。結果は標準出力にXML形式で出力されるので、リダイレクトして利用すればよい。MBSA 1.2ではXML形式ではなく、再利用しづらいテキスト形式で出力されていた。ただし出力書式は完全なMBSAレポート・ファイルの形式とは異なるので、MBSAとは別に処理する必要がある。またすべてのスキャンができるわけではなく、いくらか制限がある(詳細は省略)。
C:\work\MBSA\standalone>dir |
ユーザ名とパスワードを指定してのスキャン
MBSA 2.0のmbsacli.exeでは、スキャン時に使用するユーザー・アカウントとパスワードを指定することができるようになった。「mbsacli /u ユーザー名 /p パスワード」と指定する。自ドメインに属していないリモート・コンピュータなどをスキャンする場合に有用であろう。
INDEX | ||
[運用] | ||
Microsoft Baseline Security Analyzer 2.0日本語版(前編) | ||
1.MBSA 2.0の主要な機能強化点 | ||
Microsoft Baseline Security Analyzer 2.0日本語版(後編) | ||
1.MBSA 2.0のインストール | ||
2.MBSA 2.0の基本的な操作方法 | ||
3.レポートの表示 | ||
4.コマンドラインで使うMBSA 2.0 | ||
5.VisioとMBSA 2.0の連携 | ||
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|