Procedura: Utilizzo di Microsoft Baseline Security Analyzer
In questa pagina
Obiettivi
Il modulo consente di:
| • | Eseguire la scansione del computer per individuare gli aggiornamenti per la protezione mancanti. |
| • | Controllare le impostazioni di configurazione predefinite non protette. |
Ambito di applicazione
Le informazioni contenute in questo modulo sono valide per i seguenti prodotti e tecnologie:
| • | Server con sistemi operativi Microsoft® Windows® 2000 Server o Microsoft Windows Server™ 2003. |
| • | Workstation di sviluppatori con Windows 2000 (qualsiasi versione), Windows XP Professional o Windows Server 2003. |
| • | Microsoft SQL Server™ 2000, compreso Desktop Edition (MSDE). |
Utilizzo del modulo
Per trarre il massimo vantaggio dal modulo:
| • | È necessario conoscere i concetti di protezione di Windows. |
Riepilogo
Microsoft Baseline Security Analyzer (MBSA) controlla gli aggiornamenti del sistema operativo e di SQL Server. MBSA effettua inoltre una scansione del computer alla ricerca di configurazioni non protette. Oltre a controllare le patch e i service pack di Windows, controlla anche componenti di Windows come Internet Information Service (IIS) e COM+. MBSA utilizza un file XML come manifesto di aggiornamenti esistenti. Il file XML, contenuto nell'archivio Mssecure.cab, può essere scaricato da MBSA durante la scansione oppure può essere scaricato sul computer locale o addirittura può essere reso disponibile da un server di rete.
In questo modulo viene descritto come installare MBSA e come utilizzarlo per migliorare la protezione di un computer con sistema operativo Windows.
Prima di iniziare
Utilizzando Mbsasetup.msi, installare MBSA in una directory degli strumenti. Copiare il file Mssecure.cab nella directory di installazione di MBSA.
| • | Scaricare MBSA. Scaricare MBSA dalla home page MBSA: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/mbsahome.asp (in inglese). |
| • | Aggiornamenti di MBSA. Se il computer utilizzato dispone di accesso a Internet, il file XML di protezione più aggiornato viene scaricato automaticamente, se necessario. Se il computer non dispone di accesso ad Internet, è necessario scaricare il file XML più aggiornato utilizzando il file CAB firmato che si trova nella seguente posizione: http://download.microsoft.com/download/xml/security/1.0/NT5/EN-US/mssecure.cab (in inglese). Il file CAB è firmato, per garantire che non è stato modificato. È necessario decomprimerlo e memorizzarlo nella stessa cartella di MBSA. Nota: per visualizzare il file XML più aggiornato senza scaricarlo, utilizzare il seguente indirizzo: http://www.microsoft.com/technet/security/search/mssecure.xml (in inglese). |
| • | Directory di installazione predefinita: \Programmi\Microsoft Baseline Security Analyzer\ Nota: i comandi devono essere eseguiti da questa directory. MBSA non crea una variabile d'ambiente per l'utente. |
Informazioni preliminari
Prima di utilizzare questo modulo, è necessario tenere presente quanto segue:
| • | È possibile utilizzare MBSA attraverso l'interfaccia utente grafica (GUI, Graphical User Interface) o attraverso la riga di comando. L'eseguibile dell'interfaccia utente grafica (GUI) è Mbsa.exe, quello della riga di comando è Mbsacli.exe. | ||||||||||||
| • | Per effettuare le scansioni, MBSA utilizza le porte 138 e 139. | ||||||||||||
| • | Sono necessari privilegi di amministratore sul computer da analizzare. Le opzioni /u (nome utente) e /p (password) possono essere utilizzate per specificare il nome utente ed eseguire la scansione. Non memorizzare i nomi utenti e le password in file di testo come file di comandi o script. | ||||||||||||
| • | MBSA richiede il seguente software:
|
Scansione per la ricerca di aggiornamenti e patch per la protezione
È possibile eseguire Mbsa.exe e Mbsacli.exe con opzioni per verificare la presenza di patch per la protezione.
Utilizzo dell'interfaccia grafica
Utilizzare l'interfaccia grafica dello strumento MBSA come descritto di seguito.
| • | Per utilizzare l'interfaccia grafica MBSA per effettuare la scansione alla ricerca di aggiornamenti e patch
|
Il vantaggio dell'interfaccia grafica è che il report viene aperto immediatamente al termine della scansione del computer locale. Ulteriori informazioni sull'interpretazione del report saranno fornite più avanti in questa sezione.
Utilizzo della riga di comando (Mbsacli.exe)
Per utilizzare lo strumento della riga di comando (Mbsacli.exe) per controllare patch e aggiornamenti per la protezione, digitare il seguente comando nella finestra del prompt dei comandi. In tal modo viene eseguita la scansione del computer con l'indirizzo IP specificato per cercare gli aggiornamenti mancanti:
mbsacli /i 192.168.195.137 /n OS+IIS+SQL+PASSWORD
Una scansione eseguita correttamente produce risultati simili a quelli riportati di seguito:
Scanning... [ ] 0 o[..........] 1 of 1 computer scan(s) complete. Scan Complete. Computer Name, IP Address, Assessment, Report Name --------------------------------------------------- Workgroup\SECNETSQL, 192.168.195.137, Severe Risk, Workgroup - SECNETSQL (04-07- 2003 03-01 PM)
È possibile visualizzare il report utilizzando Mbsacli.exe; tuttavia, è più semplice estrarre i dettagli della patch utilizzando l'interfaccia utente grafica. Il comando riportato di seguito consente di visualizzare il report di una scansione utilizzando Mbsacli.exe:
mbsacli /ld "SecurityReportFile.xml"
Analisi dei risultati
Sul computer dal quale è stato eseguito il comando Mbsacli.exe viene creato un file di report nella directory del profilo dell'utente che ha eseguito l'accesso (%userprofile%). Il modo più semplice per visualizzare i risultati contenuti nei report è quello di utilizzare la modalità GUI di MBSA.
Scansione di più sistemi per la ricerca di aggiornamenti e patch
È anche possibile utilizzare MBSA per effettuare la scansione di più computer. Per fare ciò, utilizzare il parametro della riga di comando /r, come mostrato di seguito.
mbsacli /r 192.168.195.130-192.168.195.254 /n OS+IIS+SQL+PASSWORD The above command scans all computers in the range 192.168.195.130 to 192.168.195.254.
Per eseguire una scansione di tutti i computer in un dominio, utilizzare l'opzione /d, come mostrato di seguito:
mbsacli /d DOMAINNAME /n OS+IIS+SQL+PASSWORD
Specifiche di SQL Server e MSDE
La scansione e il reporting delle istanze di SQL Server e di MSDE vengono eseguiti separatamente. Le istanze vengono contraddistinte dal nome dell'istanza, come mostrato in figura 1.
Figura 1
Specifiche di SQL Server e MSDE
Scansione per una configurazione sicura
Oltre a ricercare aggiornamenti per la protezione mancanti, MBSA individua le configurazioni non protette del sistema. Per un elenco dettagliato dei controlli effettuati durante la scansione, vedere la documentazione MBSA disponibile all'indirizzo: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/mbsawp.asp (in inglese).
La scansione della configurazione protetta è un processo suddiviso in più fasi:
| • | Esecuzione della scansione. |
| • | Analisi della scansione. |
| • | Correzione dei problemi trovati. |
Tali fasi vengono descritte di seguito.
Esecuzione della scansione
Eseguire MBSA e deselezionare Check for security updates durante la scansione.
Analisi della scansione
Il rapporto che ne risulta avrà un aspetto simile a quello della scansione per le patch eseguita in precedenza. La sola differenza è che, quando vengono riscontrati problemi, sarà disponibile il collegamento How to correct this. Facendo clic sul collegamento verrà visualizzata una pagina contenente i dettagli del problema riscontrato, la soluzione e istruzioni per attuarla.
Confrontare i dettagli del problema con il criterio di protezione utilizzato; se non si trovano riferimenti, seguire le istruzioni.
Correzione del problema
Selezionare il collegamento How to correct this. Nella pagina dei risultati la soluzione e le istruzioni contengono una spiegazione delle procedure necessarie per risolvere il problema.
Ulteriori informazioni
Le seguenti informazioni contengono elementi utili per la risoluzione di problemi di scansione e la spiegazione di eventuali incongruenze.
Falsi positivi da controlli degli aggiornamenti per la protezione
In alcuni casi è possibile che MBSA indichi che un aggiornamento non è stato installato, persino subito dopo aver eseguito l'aggiornamento o dopo aver eseguito le procedure documentate nel bollettino sulla sicurezza. Questi report falsi vengono creati per due motivi:
1. | I file sottoposti a scansione sono stati aggiornati da un'installazione senza alcuna relazione al bollettino sulla sicurezza. Ad esempio, un file condiviso da diverse versioni dello stesso programma potrebbe essere aggiornato dalla versione più recente. MBSA non è al corrente delle nuove versioni e, poiché non trova quello che si aspetta, segnala la mancanza dell'aggiornamento. |
2. | Alcuni problemi segnalati dai bollettini sulla sicurezza non vengono risolti con l'aggiornamento di un file ma con una modifica alla configurazione che è impossibile da verificare. Questo tipo di segnalazioni vengono visualizzate sotto forma di messaggi con intestazione Note o Warning e contrassegnati da X di colore giallo. |
È necessario prendere nota di entrambi e ignorarli nelle scansioni successive.
Requisiti per l'esecuzione di scansioni remote
MBSA utilizza i seguenti servizi di rete per eseguire la scansione di un computer:
| • | Windows NT® 4.0 con Service Pack 4 o versione successiva, Windows 2000 o Windows XP (le scansioni locali vengono eseguite soltanto su computer con Windows XP che utilizzano la condivisione file semplice). |
| • | IIS 4.0, 5.0 (richiesto per i controlli delle vulnerabilità IIS). |
| • | SQL Server 7.0, 2000 (richiesto per i controlli delle vulnerabilità SQL). |
| • | Devono essere installati o attivati i seguenti servizi: Servizio Server, Servizio Registro di sistema remoto, Condivisione file e stampanti. |
Se uno di questi servizi non è disponibile o è impossibile accedere alle risorse amministrative condivise (C$), durante la scansione si verificheranno degli errori.
Scansioni della password
Il controllo della password eseguito da MBSA può richiedere molto tempo, a seconda del numero di account utenti presenti sul computer. Il controllo della password prevede l'enumerazione di tutti gli account utente e numerosi tentativi di modifica della password attraverso espedienti comuni come, ad esempio, quello di far coincidere nome utente e password. È possibile disabilitare questo controllo prima di eseguire la scansione dei controller di dominio in rete. Per informazioni dettagliate sul controllo della password, vedere l'argomento "Local Accounts Passwords" nel white paper MBSA su TechNet all'indirizzo http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/mbsawp.asp (in inglese).
Differenze tra Mbsa.exe e Mbsacli.exe
È importante conoscere le differenze tra le opzioni predefinite dei due client MBSA: lo strumento GUI (Mbsa.exe) e lo strumento della riga di comando (Mbsacli.exe). Gli esempi mostrati in precedenza in questo modulo prendono in considerazione le seguenti impostazioni predefinite.
Lo strumento GUI MBSA richiama /nosum, /v e /baseline per impostazione predefinita. I dettagli per queste opzioni sono i seguenti:
/nosum I controlli degli aggiornamenti per la protezione non verificano i checksum dei file.
/v Visualizza i codici motivo degli aggiornamenti per la protezione.
/baseline Controlla soltanto aggiornamenti per la protezione di base.
La riga di comando MBSA non richiama alcuna opzione ed esegue una scansione predefinita.
Risorse aggiuntive
I documenti più recenti relativi a Microsoft Baseline Security Analyzer si trovano sulla home page di MBSA all'indirizzo http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/MBSAhome.asp (in inglese).