Microsoft-Sicherheitstools: Fragen und Antworten zum Microsoft Baseline Security Analyzer Version 1.1

Veröffentlicht: 21. Apr 2003

Der Microsoft Baseline Security Analyzer (MBSA) ist eine entscheidende Hilfe für die Absicherung Ihrer IT-Infrastruktur. Nutzen Sie dieses leistungsstarke Tool, um Ihre Systeme auf fehlende Patches und fehlerhafte Konfigurationen zu überprüfen.In diesem Dokument finden Sie Fragen und Antworten zum MBSA 1.1.

*
**
Links zu verwandten Themen
Engl. Originalversion dieses Artikels
**
**
Download

Artikel im Word-Format

DownloadMBSA_1_1_FAQ.doc
Microsoft Word-Datei
Viewer für Office-Dateien downloaden

Artikel im PDF-Format

DownloadMBSA_1_1_FAQ.pdf
PDF-Datei
Adobe Acrobat Reader downloaden
**

(Engl. Originaltitel: Microsoft Baseline Security Analyzer (MBSA) Version 1.1 Q&A)

F: Welche Betriebssysteme werden vom Microsoft Baseline Security Analyzer (MBSA) 1.1 unterstützt?

A: Der MBSA kann unter Microsoft Windows 2000 Server, Windows 2000 Professional, Windows XP Home Edition und Windows XP Professional installiert und ausgeführt werden. Das Tool kann über das Netzwerk ausgeführt werden, um Microsoft Windows NT 4.0 Server, Windows NT 4.0 Workstation, Windows 2000 Server, Windows 2000 Workstation, Windows XP Professional und Home Edition Systeme zu überprüfen. Es kann auf Windows 95, 98 oder Me Systemen nicht ausgeführt werden.

Anmerkung: Windows Server 2003-Scans werden erst in der Version 1.1.1 des MBSA unterstützt werden.

F: Welche Anwendungen/Programme scannt der MBSA?

A: Der MBSA V1.1 scannt Windows NT 4.0, Windows 2000, Windows XP, Microsoft Internet Information Services (IIS) 4.0 und 5.0, Microsoft Internet Explorer (IE) 5.01+, Microsoft SQL Server 7.0 und 2000 und Microsoft Office 2000 und 2002 auf Fehlkonfigurationen im Bezug auf Sicherheit.

Es werden außerdem Windows NT 4.0, Windows 2000, Windows XP, IIS 4.0 und 5.0, IE 5.01+, SQL Server 7.0 und 2000, Exchange 5.5 und 2000 und Windows Media Player 6.4+

auf fehlende Sicherheitsupdates geprüft.

F: Kann der MBSA den Windows Server 2003 scannen?

A: Der MBSA Version 1.1 unterstützt das Scannen des Windows Server 2003 nicht. Die nächste Version des MBSA (Version 1.1.1) wird vollständige Unterstützung für Windows Server 2003 zur Verfügung stellen.

F: Ersetzt der MBSA den Microsoft Personal Security Advisor (MPSA)?

A: Ja. Der MBSA ersetzt den MPSA. Der MBSA ist der Nachfolger des Microsoft Personal Security Advisor (MPSA) Tools. Er enthält alle früheren MPSA-Tests. Der MBSA führt zusätzliche Anwendungstests (z. B. IIS, SQL) durch, und kann zum Scannen von Servern und Arbeitsstationen verwendet werden. Dies ist sowohl lokal, als auch über das Netzwerk möglich.

F: Wo werden die Sicherheitsberichte des MBSA gespeichert?

A: Die Sicherheitsreports werden als Vorgabe im Verzeichnis %userprofile%\SecurityScans als XML-Datei gespeichert.

F: Welche Sprachen werden vom MBSA V1.1 unterstützt?

A: Der MBSA V1.1 ist nur in Englisch verfügbar. Er ist allerdings in der Lage auch viele lokalisierte Produkte zu scannen. Spätere Versionen des MBSA werden in zusätzlichen Sprachen zur Verfügung stehen.

F: Ersetzt der MBSA V1.1 das Tool HFNetChk?

A: Der MBSA V1.1 stellt sämtliche Schalter von HFNetChk V3.81 über die Kommandozeilenschnittstelle (mbsacli.exe) zur Verfügung. Da der MBSA V1.1 nun Tests im MBSA-Stil und im HFNetChk-Stil durchführen kann, bietet Microsoft HFNetChk nicht mehr als einzelnes Tool an.

F: Wie führe ich mit MBSA V1.1 eine Prüfung im HFNetChk-Stil durch?

A: Benutzer die sich mit dem eigenständigen Tool HFNetChk auskennen, können den MBSA V1.1 verwenden um den gleichen Scan durchzuführen. Die Kommandozeilenschnittstelle des MBSA V1.1 bietet einen neuen Schalter (/hf), über den ein Scan im HFNetChk-Stil durchgeführt werden kann. Benutzer können mbsacli.exe /hf, gefolgt von einem gültigen HFNetChk v3.81-Schalter aufrufen. Benutzer die hfnetchk.exe in Scripts verwenden, können diesen Aufruf einfach durch mbsacli.exe /hf, gefolgt durch gültige HFNetChk-Schalter ersetzten.

F: Welche Vorteile hat der MBSA gegenüber HFNetChk?

A: Der MBSA umfasst die gesamte Funktionalität von HFNetChk. HFNetChk prüft nur auf Sicherheitsupdates und Servicepacks. Der MBSA bietet über eine einfach zu nutzende Schnittstelle zusätzliche Funktionalitäten. Dies schließt z. B. die Prüfung von Windows Arbeitsstationen und Servern auf häufige Fehlkonfigurationen im Sicherheitsbereich ein. Es wird unter anderem die Passwortqualität geprüft, IIS-Server und SQL Server werden auf Sicherheitsfehlkonfigurationen getestet und Microsoft Office, Outlook und der Internet Explorer werden auf falsch konfigurierte Sicherheitszonen geprüft. Mit dem MBSA V1.1 kann dies nun über ein einziges Tool erledigt werden.

F: Wie kann ich die notwendigen Dateien herunterladen, wenn mein Proxy-Server eine Authentifizierung erfordert?

A: Sie können über die folgende Microsoft Webseite manuell eine signierte mssecure.xml-Datei herunterladen: http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab. Diese wird für den Hotfix-Test benötigt. Sie können die unkomprimierte XML-Datei außerdem über die folgende Webseite erhalten: http://www.microsoft.com/technet/security/search/mssecure.xml. Speichern Sie diese Datei im MBSA Installationsordner.

F: Warum bekomme ich vom MBSA oder von HFNetChk auch noch falsche Berichte, wenn ich alle im Scanergebnis markieren Updates installiert habe?

A: Einige Sicherheitsupdates die von Microsoft herausgegeben werden, enthalten Warnungen oder Arbeitsanweisungen, die vom MBSA oder von HFNetChk nicht so einfach gescannt werden können. Ein Beispiel hierfür ist MS99-041. Hier ist kein Patch enthalten, sondern ein Tool über das die Benutzer einen bestimmten Dienst auf ihren Systemen verändern können. Diese Security Bulletins werden als Hinweis: (Note) oder Warnung (Warning) gekennzeichnet. Solange der Schalter -s nicht verwendet wird, zeigt HFNetChk diese Meldungen an. Auch der MBSA zeigt diese Warnungen und Hinweise an. Sie werden mit einem gelben X gekennzeichnet. Das bedeutet, dass der MBSA nicht feststellen konnte, ob der Security Bulletin Hotfix angewandt wurde. Auch wenn der Benutzer einen dieser Hotfixes anwendet, werden diese Einträge weiterhin in den Scanergebnissen angezeigt. Weitere Informationen über die Hinweis-Nachrichten finden Sie im KB-Artikel: http://support.microsoft.com/default.aspx?scid=kb;EN-US;306460&sd=tech (englischsprachig).

Außerdem können dem Benutzer verschiedene Updates angezeigt werden, die eine größere Dateiversion als erwartet haben. Dies kann durch die Installation von nicht sicherheitsbezogenen Updates passieren. Da der MBSA nur Sicherheitsupdates scannt, und nur deren Dateiversionen und Checksummen in der mssecure.xml-Datei enthalten sind, kann er nicht feststellen ob andere Dateien durch nicht sicherheitsbezogenen Updates aktualisiert wurden.

F: Warum erhalte ich vom MBSA und Windows Update unterschiedliche Resultate?

A: Der MBSA und Windows Update (WU) analysieren das System auf unterschiedliche Art und Weise. WU kümmert sich nicht um kritische Updates des Betriebssystems. Im Gegensatz dazu prüft der MBSA (über HFNetChk) auf fehlende Sicherheitsupdates des Betriebssystems und anderer Microsoft Produkte (wie z. B. SQL Server).

Es gibt außerdem Sicherheitsupdates, die erneut veröffentlich werden (z. B. MS02-008 und MS02-009). Der MBSA stellt sicher, dass Sie auf Ihrem System immer die aktuellste Version aller Sicherheitsupdates installiert haben. Wenn Sie die Originalversion des MS02-008 oder MS02-009 Updates haben, zeigt der MBSA dieses Update als nicht installiert an, sobald eine neuere Version verfügbar ist. Windows Update könnte möglicherweise nicht erkennen, dass eine aktuellere Version verfügbar ist, da es auf einen anderen Weg prüft ob ein Update verfügbar ist oder nicht. Microsoft arbeitet an dieser inkonsequenten Verhaltensweise, so dass der MBSA, Windows Update, Microsoft Software Update Services und die SMS-Sicherheitspatchverwaltung alle dieselben Verfahren zur Feststellung von installierten Sicherheitsupdates verwenden. Hierdurch wird sichergestellt, dass alle Kunden mit jedem Werkzeug die gleichen Ergebnisse erhalten. Um sicherzustellen, dass Sie das aktuellste Update installiert haben, prüfen Sie in der Zwischenzeit bitte das Security Bulletin, wenn der MBSA ein Sicherheitsupdate als fehlend anzeigt, welches Sie bereits installiert haben.

F: Warum werden SQL-Server Sicherheitsupdate plötzlich als fehlend angezeigt, wenn sie vorher als "Hinweis" angezeigt wurden?

A: Am 13. Januar 2003 hat Microsoft die mssecure.xml Datei aktualisiert, um detaillierte Informationen zu SQL-Server Sicherheitsupdate hinzuzufügen. Während vorher alle verfügbaren SQL-Server Sicherheitsupdates mit einem gelben X (Hinweis) angezeigt wurden, werden diese nun mit einem roten X (Fehlend) angezeigt. (Weiter Informationen über den Anzeigetyp "Hinweis" finden Sie unter http://support.microsoft.com/default.aspx?scid=kb;EN-US;306460&sd=tech - englischsprachig).

F: Wie arbeitet der MBSA V1.1 mit Software Update Services (SUS) zusammen?

A: Der MBSA V1.1 bietet die Möglichkeit einen Scan der Sicherheitsupdate über einen lokalen SUS-Server auszuführen. Die kann über die Benutzeroberfläche oder die Kommandozeilenschnittstelle durchgeführt werden.

Dieser Teil des Tests wird dann über die Sicherheitsupdate-Liste des lokalen SUS-Servers durchgeführt, und nicht über die komplette Liste der verfügbaren Sicherheitsupdates in der mssecure.xml-Datei die während des Scans heruntergeladen wird. Alle Sicherheitsupdates die über die Benutzerschnittstelle des SUS als "bestätigt" markiert sind, auch die Updates die zusammengefasst wurden, werden durch den MBSA gescannt. Weiter Informationen über den SUS finden Sie unter: http://www.microsoft.com/windows2000/windowsupdate/sus/default.asp (englischsprachig).

F: Wie arbeitet der MBSA V1.1 mit dem SMS 2.0 Software Update Services Feature Pack zusammen?

A: Das SMS 2.0 Software Update Services Feature Pack bietet Unternehmenskunden eine Lösung zur Verwaltung von Sicherheitspatches für Windows NT 4.0, Windows 2000 und Windows XP Clients. Das Feature Pack verwendet die MBSA-Technologie, um ständig automatisch Clientcomputer auf installierte und anwendbare Sicherheitsupdates zu scannen. Die gewonnen Daten werden für den Systems Management Server konvertiert und dort angezeigt. Sie können von einem zentralen Punkt aus über webbasierte Berichte abgerufen werden. Administratoren können die aktuellsten Windows-Updates zur Verteilung über den Systems Management Server direkt bei Microsoft auswählen. Weiter Informationen finden Sie unter: http://www.microsoft.com/smserver/evaluation/overview/featurepacks/default.asp (englischsprachig)

F: Gibt es von Microsoft Supportunterstützung für den MBSA?

A: Ja, das Tool wird vom Microsoft-Support (PSS) unterstützt. Benutzer können technische Fragen auch direkt in der öffentlichen MBSA-Newsgroup stellen.

News-Server: msnews.microsoft.com
Newsgroup: microsoft.public.security.baseline_analyzer

F: Wird es zukünftige Versionen des MBSA geben?

A: Ja. Microsoft plant Erweiterungen des Tools, wie eine Lokalisierung oder zusätzliche anwendungsspezifische Tests (z. B. eine Erkennung von Office-Updates).

F: Wo kann ich Vorschläge oder Kommentare zum MBSA hinterlassen?

A: Es steht zur Diskussion über den MBSA eine öffentliche Newsgroup zur Verfügung:

News-Server: msnews.microsoft.com
Newsgroup: microsoft.public.security.baseline_analyzer


Zum SeitenanfangZum Seitenanfang