MSDN ホーム > セキュリティ ガイダンス > How-To インデックス

[HOWTO] Microsoft Baseline Security Analyzer を使用する方法

公開日: 2004年9月7日 | 最終更新日: 2004年9月7日
トピック
目的目的
適用対象適用対象
モジュールの使用方法モジュールの使用方法
要約要約
はじめにはじめに
必要な知識必要な知識
セキュリティの更新と修正プログラムをスキャンするセキュリティの更新と修正プログラムをスキャンする
複数のシステムで更新および修正プログラムをスキャンする複数のシステムで更新および修正プログラムをスキャンする
SQL Server および MSDE の詳細SQL Server および MSDE の詳細
セキュリティの構成をスキャンするセキュリティの構成をスキャンする
その他の情報その他の情報
その他のリソースその他のリソース

目的

このモジュールの目的は次のとおりです。

コンピュータをスキャンし不足しているセキュリティの更新を判別する。

安全ではない既定の構成の設定を確認する。

ページのトップへページのトップへ

適用対象

このモジュールは、次の製品およびテクノロジに適用されます。

Microsoft® Windows® 2000 Server または Microsoft Windows Server™ 2003 オペレーティング システムを実行しているサーバー

Windows 2000 (任意のタイプ)、Windows XP Professional、または Windows Server 2003 を実行する開発ワークステーション

Desktop Edition (MSDE) を含む、Microsoft SQL Server 2000

ページのトップへページのトップへ

モジュールの使用方法

モジュールの効果的な使用方法

Windows のセキュリティ コンセプトを理解している必要があります。

ページのトップへページのトップへ

要約

Microsoft Baseline Security Analyzer (MBSA) はオペレーティング システムと SQL Server の更新を確認します。MBSA はコンピュータの安全でない構成もスキャンします。Windows の service pack および修正プログラムを確認する場合、Internet Information Service (IIS) や COM+ などの Windows コンポーネントが含まれます。MBSA は XML ファイルを既存の更新のマニフェストとして使用します。Mssecure.cab アーカイブに含まれるこの XML ファイルは、スキャンが実行された場合に MBSA によってダウンロードされるか、またはローカル コンピュータにダウンロードされるか、またはネットワーク サーバーから使用可能になります

このモジュールは MBSA のインストール方法と、MBSA を使用して Windows オペレーティング システムを実行しているコンピュータのセキュリティを強化する方法を説明します。

ページのトップへページのトップへ

はじめに

Mbsasetup.msi を使用して MBSA を、ツールのディレクトリにインストールします。Mssecure.cab ファイルを MBSA インストール ディレクトリにコピーします。

MBSA のダウンロード - 次の MBSA ホーム ページから、MBSA をダウンロードします。http://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx

MBSA の更新 - 使用しているマシンがインターネットにアクセスできる場合は、必要に応じて、最新のセキュリティ XML ファイルが自動的にダウンロードされます。使用しているマシンがインターネットにアクセスできない場合は、次の場所の署名された CAB を使用して最新の XML ファイルをダウンロードする必要があります。 http://go.microsoft.com/fwlink/?LinkId=18120

CAB ファイルは変更されていないことを保証するため署名されています。このファイルを解凍して、MBSA が保存されているフォルダと同じフォルダに格納する必要があります。

注: 次の場所から最新の XML ファイルを参照表示させることができます。http://www.microsoft.com/technet/security/search/mssecure.xml

既定のインストール ディレクトリ - \Program Files\Microsoft Baseline Security Analyzer\

注: このディレクトリからコマンドを実行する必要があります。MBSA はユーザー用の環境変数を設定しません。

ページのトップへページのトップへ

必要な知識

このモジュールを使い始めるには、次の事前知識が必要です。

グラフィカル ユーザー インターフェイス (GUI) またはコマンド ラインを使用して MBSA を使用できます。GUI の実行可能ファイルは Mbsa.exe で、コマンド ラインの実行可能ファイルは Mbsacli.exe です。

MBSA はポート 138 および 139 を使用して、スキャンを実行します。

MBSA にはスキャンするコンピュータに対する管理者権限が必要です。オプション "/u" (ユーザー名) および "/p" (パスワード) を使用して、スキャンを実行するユーザー名を指定できます。ユーザー名とパスワードをコマンド ファイルやスクリプトなどのテキスト ファイルに格納しないでください。

MBSA には次のソフトウェアが必要です。

Service Pack 4 以上を適用した Microsoft Windows NT® 4.0 オペレーティング システム、Windows 2000、または Windows XP (ローカル スキャンは簡易ファイルの共有を使用する Windows XP だけで使用可能)

Internet Information Service (IIS) 4.0、5.0 (IIS の脆弱性チェックに必要)

SQL Server 7.0 または 2000 (SQL の脆弱性チェックに必要)

Microsoft Office 2000 または XP (Office の脆弱性チェックに必要)

次のサービスをインストールし、有効にする必要があります: Server サービス、Remote Registry サービス、ファイルとプリンタの共有

このモジュールで後述する、その他の情報セクションに MBSA の使用に関するヒントが含まれています。

ページのトップへページのトップへ

セキュリティの更新と修正プログラムをスキャンする

オプションを指定して Mbsa.exe および Mbsacli.exe を実行し、セキュリティの修正プログラムの存在を確認します。

グラフィカル インターフェイスを使用する

MBSA GUI ツールを次に説明されている方法で使用します。

MBSA GUI を使用して更新と修正プログラムをスキャンするには

1.

[プログラム] メニューから [Microsoft Baseline Security Analyzer] をクリックします。

2.

[単一のコンピュータをスキャンする] をクリックします。

3.

以下のオプションが選択されていないことを確認し、[スキャンを開始する] をクリックします。

[Windows の脆弱性をチェックする]

[脆弱なパスワードをチェックする]

[IIS の脆弱性をチェックする]

[SQL の脆弱性をチェックする]

GUI の長所は、ローカル コンピュータをスキャンした直後にレポートが開かれる点です。レポートの解釈についての詳細はこのセクションで後述します。

コマンド ライン (Mbsacli.exe) を使用する

コマンド ライン ツール (Mbsacli.exe) を使用してセキュリティの更新および修正プログラムを確認するには、コマンド ウィンドウから以下のコマンドを実行します。これにより、指定した IP アドレスを使用する特定のコンピュータをスキャンし、不足している更新を確認します。

mbsacli /i 192.168.195.137 /n OS+IIS+SQL+PASSWORD

スキャンが成功すると以下に示すような結果とほぼ同じになります。

スキャンしています...
[     ] 0 o[..........] 1 / 1 台のコンピュータのスキャンが完了しました。
スキャンは完了しました。
コンピュータ名、IP アドレス、Assessment, Report Name
---------------------------------------------------
Workgroup\SECNETSQL, 192.168.195.137, Severe Risk, Workgroup - SECNETSQL (04-07-
2003 03-01 PM)

Mbsacli.exe を使用してレポートを表示できますが、GUI を使用して修正プログラムの詳細を抽出するほうが簡単ですのでお勧めできません。以下のコマンドを使用すると、Mbsacli.exe を使用してスキャンしたレポートを表示することができます。

mbsacli /ld "SecurityReportFile.xml"

出力を分析する

Mbsacli.exe コマンドを実行したコンピュータの、ログインしたユーザーのプロファイル ディレクトリ (%userprofile%) にレポートファイルが作成されます。それらのレポートの結果を表示する最も簡単な方法は、MBSA の GUI モードを使用することです。

ページのトップへページのトップへ

複数のシステムで更新および修正プログラムをスキャンする

MBSA を使用して、範囲を指定したコンピュータのスキャンもできます。スキャンするには、以下に示す、"/r" コマンド ライン スイッチを使用します。

mbsacli /r 192.168.195.130-192.168.195.254 /n OS+IIS+SQL+PASSWORD

上記のコマンドは、192.168.195.130 から 192.168.195.254 までの範囲のコンピュータをすべてスキャンします。

ドメインのすべてのコンピュータをスキャンするには、以下に示す "/d" オプションを使用します。

mbsacli /d DOMAINNAME /n OS+IIS+SQL+PASSWORD
ページのトップへページのトップへ

SQL Server および MSDE の詳細

MSDE を含む SQL Server のインスタンスはそれぞれスキャンされ、それぞれレポートされます。各インスタンスには、図 1 に示されているようにインスタンス名が記載されています。

SQL Server および MSDE の詳細

図 1
SQL Server および MSDE の詳細

ページのトップへページのトップへ

セキュリティの構成をスキャンする

不足しているセキュリティの更新をスキャンすることに加えて、MBSA はセキュリティで保護されていないシステムの構成をスキャンします。このスキャンにより確認できることの詳細なリストについては、次の MBSA に関する文書を参照してください。http://www.microsoft.com/japan/technet/security/tools/mbsawp.mspx

構成をセキュリティで保護するためのスキャンは次の順序で実行されます。

スキャンを実行する

スキャンを分析する

明らかになった問題がある場合は修正する

これらの順序について以下に説明します。

スキャンを実行する

MBSA を実行し、スキャンを実行する場合に、[セキュリティの更新をチェックする] の選択を解除します。

スキャンを分析する

既に実行した修正プログラムのスキャンと似た、結果のレポートが表示されます。唯一の違いは、問題が見つかった場合に、[修正方法] リンクが利用可能になることです。リンクをクリックした場合、見つかった問題の詳細、問題の解決方法、問題を修正するための手順を示すページを表示します。

セキュリティ ポリシーと問題の詳細を比較し、問題がポリシーにより解決されない場合、以下の手順に従います。

見つかった問題を修正する

[修正方法] リンクを選択します。その結果のページに、問題を修正するために必要なステップを説明する解決方法および手順が表示されます。

ページのトップへページのトップへ

その他の情報

以下の情報は、スキャンのエラーをトラブルシューティングする場合や、スキャンの不一致を説明する場合に役に立ちます。

セキュリティ更新確認の誤検知

更新を完了したり、セキュリティ情報に載せられていた手順を実行した後でも、MBSA で更新がインストールされていないと報告される場合があります。これらの誤った報告には 2 つの原因があります。

1.

スキャンされたファイルはセキュリティ情報と関連がないインストールにより更新された: 例えば、同じプログラムの異なるバージョンにより共有されたファイルは新しいバージョンにより更新される場合があります。そのようなことは想定されていないため、MBSA は新しいバージョンに気付かず、更新が不足していると報告します。

2.

セキュリティ情報によってはファイル更新により対応されず、構成の変更が確認されない場合がある: これらのタイプのフラグは、黄色の X によりマークされた、[注意] または [警告] と表示されます。

どちらも今後のスキャンのために、記録され無視される必要があります。

リモート スキャンを実行するための要件

MBSA は以下のネットワーク サービスを使用してコンピュータをスキャンします。

Windows NT 4.0 SP4 以降、Windows 2000、または Windows XP (ローカル スキャンは簡易ファイルの共有を使用する Windows XP コンピュータのみ)

IIS 4.0、5.0 (IIS の脆弱性チェックに必要)

SQL Server 7.0、2000 (SQL の脆弱性チェックに必要)

Server サービス、Remote Registry サービス、ファイルとプリンタの共有がインストールされ、有効にされている必要があります。

これらのサービスのいずれかが使用できない場合、または管理共有 (C$) にアクセスできない場合、スキャン中にエラーが報告されます。

パスワードのスキャン

MBSA により実行されるパスワードの確認は、マシンのユーザー アカウント数によっては、長い時間がかかる場合があります。パスワードの確認はすべてのユーザー アカウントを列挙し、ユーザー名と同じパスワードを使用しているなど、共通するパスワードの注意点を使用しているパスワードの変更を試みます。ユーザーはこの確認を無効にしてから、ネットワークのドメイン コントローラをスキャンしたい場合があるかもしれません。MBSA のパスワード確認の詳細については、http://www.microsoft.com/japan/technet/security/tools/mbsawp.mspx にある MBSA ホワイトペーパーの中の「ローカル アカウントのパスワード」を参照してください。

Mbsa.exe と Mbsacli.exe の違い

GUI ツールの Mbsa.exe、およびコマンドライン ツールの Mbsacli.exe という、2 つの MBSA クライアントの既定のオプションに見られる違いを把握することは重要です。このモジュールで前述した GUI ツール、Mbsa.exe、および コマンドライン ツール、Mbsacli.exeの例はこの既定の違いを考慮しています。

MBSA GUI は既定で、"/nosum"、"/v"、および "/baseline" を呼び出します。これらのオプションの詳細を以下に示します。

/nosum: セキュリティ更新のチェックはファイルのチェックサムをテストしない

/v : セキュリティ更新の理由コードを表示する

/baseline: ベースライン セキュリティ更新だけを確認する

MBSA コマンド ラインはオプションを呼び出さず、既定のスキャンを実行します。

ページのトップへページのトップへ

その他のリソース

MBSA のホームページ (http://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx) は Microsoft Baseline Security Analyzer の最新の情報が入手可能な最適なリソースです。


ページのトップへページのトップへ