Schützen einer Entwicklerarbeitsstation
.gif)
Auf dieser Seite
.gif){kind=icon}
Zielsetzung
Betrifft
Verwendung dieses Moduls
Zusammenfassung
Vorbereitung
Ausführen unter Verwendung eines Kontos mit geringsten Berechtigungen
Patch und Update
Schützen von IIS
Schützen von SQL Server und MSDE
Bewerten der Konfigurationskategorien
Stay Secure
Zielsetzung
Themenbereiche:
Schützen einer Entwicklungsarbeitsstation
Entwickeln mit einem Nicht-Administratorkonto
Sicherstellen, dass die neuesten Betriebssystempatches angewendet werden
Sperren der IIS-Sicherheit
Sperren des SQL Servers und der MSDE-Sicherheit
Betrifft
Die Informationen in diesem Modul gelten für folgende Produkte und Technologien:
Microsoft® Windows® 2000 Server und Professional, Windows® XP Professional
Internetinformationsdienste (IIS)
.NET Framework Versionen 1.0 und 1.1
Microsoft SQL Server™ 2000 und die Desktop Edition
Verwendung dieses Moduls
Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul:
Sie müssen über Erfahrung im Verwalten von Windows, SQL Server und IIS-Sicherheit verfügen.
Lesen Sie das Modul "Verwenden von IISLockdown". In diesem Modul wird beschrieben, wie IISLockdown installiert und verwendet wird.
Lesen Sie das Modul "Verwenden von URLScan". In diesem Modul wird beschrieben, wie URLScan installiert und konfiguriert wird.
Lesen Sie das Modul "Verwenden von Microsoft Baseline Security Analyzer". In diesem Modul wird beschrieben, wie der Microsoft Baseline Security Analyzer installiert und verwendet wird, um die Sicherheit eines Windows-Computers zu bewerten und zu verbessern.
Zusammenfassung
Entwickler arbeiten häufig mit Computern, auf denen Software wie die Internetinformationsdienste (IIS), Microsoft SQL Server oder Microsoft SQL Server Desktop Engine (MSDE) ausgeführt wird. Auch wenn der Computer sich in einem geschützten lokalen Netzwerk befindet, muss ein Entwickler diese Dienste vor Angriffen oder Fehlbedienung schützen können.
Dieses Modul unterstützt Sie bei der Verbesserung der Sicherheit Ihrer Entwicklerarbeitsstation. Es hilft Ihnen auch dabei, häufig auftretende Probleme beim Schützen einer Arbeitsstation zu vermeiden. Abschließend wird erläutert, wie Sie Probleme, die durch zu restriktive Sicherheitseinstellungen verursacht wurden, identifizieren und wie Sie diese Einstellungen gegebenenfalls zurücksetzen.
Vorbereitung
Bevor Sie mit dem Schützen Ihrer Arbeitsstation beginnen, benötigen Sie die folgenden Tools:
Microsoft Baseline Security Analyzer (MBSA). Microsoft stellt das Dienstprogramm MBSA zur Verfügung, um die Sicherheitskonfiguration Ihrer Computer zu analysieren und fehlende Patches und Updates zu identifizieren. Sie können das Dienstprogramm MBSA unter folgender Adresse downloaden https://download.microsoft.com/download/e/5/7/e57f498f-2468-4905-aa5f-369252f8b15c/mbsasetup.msi .
IISLockdown. Das IISLockdown-Tool verkleinert die Angriffsfläche Ihres Computers, indem es die Standardkonfigurationseinstellungen von IIS und Windows absichert und nicht benötigte IIS-Erweiterungen entfernt. IISLockown installiert auch den ISAPI-Filter 404.dll, der verwendet wird, um die Meldung 404 Datei nicht gefunden anzuzeigen, wenn deaktivierte Erweiterungen angefordert werden.
Sie können das IISLockdown-Tool unter folgender Adresse downloaden
https://download.microsoft.com/download/iis50/Utility/2.1/NT45XP/EN-US/iislockd.exe.URLScan. URLScan ist ein ISAPI-Filter, der HTTP-Anforderungen auf der Basis eines konfigurierbaren Regelsatzes zurückweist oder zulässt. Der Filter ist in IISLockdown integriert, Sie können ihn jedoch auch einzeln herunterladen. URLScan wird mit anpassbaren Vorlagen für jede unterstützte Serverrolle geliefert.
Informationen zur Installation von URLScan ohne IISLockdown finden Sie im Microsoft Knowledge Base-Artikel 307608, "INFO: Using URLScan on IIS" unter folgender Adresse:
https://support.microsoft.com/default.aspx?scid=kb;en-us;307608.
Ausführen unter Verwendung eines Kontos mit geringsten Berechtigungen
Wenn Sie Anwendungen entwickeln, sollten Sie ein Nicht-Administratorkonto verwenden. Dies ist wichtig, da so die Gefährdung des angemeldeten Benutzers begrenzt wird und es bei der Entwicklung sichererer Software hilft. Wenn Sie zum Beispiel eine Anwendung entwerfen, entwickeln und testen, während Sie interaktiv als Administrator angemeldet sind, ist es sehr viel wahrscheinlicher, dass die fertige Software zu ihrer Ausführung Administratorrechte erfordert.
Sie sollten sich nicht immer mit dem lokalen Administratorkonto anmelden. Das Konto, das Sie täglich verwenden, sollte kein Mitglied der lokalen Administratorgruppe sein. In einigen Fällen benötigen Sie jedoch ein Konto mit administrativen Rechten, zum Beispiel beim Installieren von Software oder beim Bearbeiten der Registrierung. Da das standardmäßige lokale Administratorkonto jedoch ein bekanntes Konto ist, auf das sich viele Angriffe richten, sollten Sie ein nicht-standardisiertes Administratorkonto erstellen und dieses nur verwenden, wenn es erforderlich ist.
So erstellen Sie Konten für die Entwicklung
Wenn Ihr aktuelles Benutzerkonto ein Mitglied der Administratorgruppe ist, entfernen Sie dieses.
Erstellen Sie ein neues benutzerdefiniertes Administratorkonto mit einem nicht-standardisierten Namen und einem sicheren Kennwort.
Verwenden Sie Ihr Nicht-Administratorkonto, um sich täglich interaktiv anzumelden. Wenn Sie einen Befehl mit Administratorrechten ausführen müssen, verwenden Sie Ihr benutzerdefiniertes Administratorkonto mit dem Befehlszeilenprogramm Runas.exe.
Ausführen von Befehlen, die besondere Berechtigungen erfordern
Um einen Befehl auszuführen, der besondere Berechtigungen erfordert, können Sie eine der folgenden Methoden verwenden, um Ihren Sicherheitskontext vorübergehend zu ändern:
Verwenden des Dienstprogramms Runas.exe von einer Befehlszeile aus. Der folgende Befehl zeigt Ihnen, wie Sie das Dienstprogramm Runas.exe verwenden, um eine Befehlskonsole zu starten, die mit Ihrem benutzerdefinierten Konto ausgeführt wird.
<runas.exe /user:mymachine\mycustomadmin cmd.exeBeim Ausführen von Cmd.exe wird ein neues Befehlsfenster gestartet, das im Sicherheitskontext desjenigen Benutzers ausgeführt wird, den Sie mit /user festgelegt haben. Jedes Programm, das Sie von diesem Befehlsfenster aus starten, wird ebenfalls in diesem Kontext ausgeführt.
Verwenden von "Ausführen als" im Windows Explorer. Sie können mit der rechten Maustaste auf eine ausführbare Datei im Windows Explorer klicken und dann auf Ausführen als. Um diese Komponente unter Windows 2000 anzuzeigen, halten Sie die Umschalttaste gedrückt und klicken anschließend mit der rechten Maustaste auf eine ausführbare Datei. Wenn Sie auf Ausführen als klicken, werden Sie aufgefordert die Anmeldeinformationen des Kontos einzugeben, das Sie zum Starten der ausführbaren Datei verwenden möchten.
Verwenden von "Ausführen als"-Verknüpfungen. Sie können Schnellstart- und Desktopverknüpfungen erstellen, um Anwendungen mit einem Benutzerkonto mit besonderen Berechtigungen auf einfache Weise auszuführen. Im folgenden Beispiel wird eine Verknüpfung gezeigt, die Sie verwenden können, um Windows Explorer (Explorer.exe) mit dem Administratorkonto auszuführen:
%windir%\System32\runas.exe /user:administrator explorer
Hinweis: Wenn sich das Nicht-Administratorkonto in Ihrer Umgebung als unpraktisch erweist, sollten Sie dennoch Ihre Anwendung oder Ihre Komponente testen, während Sie als ein Benutzer mit den geringsten Berechtigungen angemeldet sind. Auf diese Weise können Sie Probleme vor der Bereitstellung erfassen und korrigieren. So könnte Ihre Anwendung zum Beispiel unbeabsichtigt Administratorrechte erfordern. Dies führt zu einem Fehlschlagen der Anwendung, wenn sie in einer Produktionsumgebung bereitgestellt wird.
Weitere Informationen
Weitere Informationen über die Entwicklung mit einem Nicht-Administratorkonto finden Sie in folgenden Artikeln:
"a .net developer's guide to Windows security" unter http://www.develop.com/kbrown/book/html/lifestyle.html
"Developing Software in Visual Studio .NET with Non-Administrative Privileges" unter https://msdn.microsoft.com/library/default.asp?url=/library/en-us/dv_vstechart/html/tchDevelopingSoftwareInVisualStudioNETWithNon-AdministrativePrivileges.asp
Patch und Update
Vergewissern Sie sich, dass die neuesten Service Packs und Patches auf Ihrer Arbeitsstation installiert sind. Überprüfen Sie das Betriebssystem, IIS, SQL Server, MSDE, Microsoft Data Access Components (MDAC) und das .NET Framework. Microsoft bietet mehrere Tools und Methoden, die Sie bei der Überprüfung und Aktualisierung Ihres Systems unterstützen. Dazu zählen die Windows Update-Site, das Tool Microsoft Baseline Security Analyzer (MBSA) und das Feature Automatische Updates.
Verwenden von Windows Update
Sie können Windows Update (vom Startmenü aus verfügbar) verwenden, um nach Updates und Patches für Windows zu suchen. Sie können unter folgender Adresse auch direkt nach Updates suchen: http://v4.windowsupdate.microsoft.com/en/default.asp.
Hinweis: Verwenden Sie nach der Aktualisierung Ihres Systems mithilfe der Windows Update-Site das Dienstprogramm MBSA, um fehlende Updates für SQL Server, MSDE und MDAC zu erkennen.
Verwenden von MBSA
Sie können MBSA verwenden, um die Sicherheit zu bewerten und Patches zu überprüfen. Wenn Sie automatische Updates oder Windows Update verwendet haben, um Ihr Betriebssystem und Ihre Komponenten zu aktualisieren, überprüft MBSA diese Updates sowie den Status der Updates für SQL Server und Microsoft Exchange Server. MBSA ermöglicht Ihnen die Erstellung eines Skripts für die Überprüfung mehrerer Computer.
So werden Patches und Updates ermittelt und installiert
Laden Sie MBSA von der MBSA-Homepage unter folgender Adresse https://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/mbsahome.asp.
Wenn Sie bei der Ausführung von MBSA keinen Internetzugriff haben, kann die XML-Datei mit den neuesten Sicherheitseinstellungen von Microsoft von MBSA nicht abgerufen werden. Sie können für den Download der XML-Datei jedoch einen anderen Computer verwenden. Anschließend können Sie die Datei in das MBSA-Programmverzeichnis kopieren. Die XML-Datei ist unter folgender Adresse verfügbar
https://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab.Führen Sie MBSA aus, indem Sie auf das Desktopsymbol doppelklicken oder es im Menü Programme auswählen.
Klicken Sie auf Einen Computer überprüfen. MBSA wird standardmäßig auf den lokalen Computer angewendet.
Deaktivieren Sie alle Kontrollkästchen außer Auf Sicherheitsupdates überprüfen. Diese Option ermittelt, welche Patches und Updates fehlen.
Klicken Sie auf Überprüfung starten. Ihr Server wird jetzt analysiert. Wenn die Überprüfung abgeschlossen ist, zeigt MBSA einen Sicherheitsbericht an, der auch in das Verzeichnis %Userprofile%\SecurityScans geschrieben wird.
Fehlende Updates herunterladen und installieren. Klicken Sie neben jedem Fehlerhäkchen auf Ergebnisdetails, um die Liste der fehlenden Sicherheitsupdates anzuzeigen.
Im folgenden Dialogfeld wird die Referenznummer des Microsoft-Security Bulletins angezeigt. Klicken Sie auf die Referenz, um weitere Informationen über das Bulletin zu erhalten und das Update herunterzuladen.
Weitere Informationen über die Verwendung von MBSA finden Sie unter "Verwenden von Microsoft Baseline Security Analyzer" im entsprechenden Abschnitt dieses Handbuchs.
Hinweis: Für das .NET Framework zeigt MBSA notwendige Updates und Patches nicht an. Durchsuchen Sie die .NET Framework-Downloadseite unter folgender Adresse
https://msdn.microsoft.com/netframework/downloads/default.asp.
Verwenden von Automatische Updates
Das Feature Automatische Updates stellt die einfachste Methode zur Aktualisierung Ihres Betriebssystems mit den neuesten Sicherheitspatches dar. Dieses Feature ist in Windows XP integriert und wird mit dem Windows 2000 Service Pack 3 installiert.
Um "Automatische Updates" mit Windows 2000 zu konfigurieren, klicken Sie in der Systemsteuerung auf Automatische Updates. Weitere Informationen über "Automatische Updates" und Windows 2000 finden Sie im Microsoft Knowledge Base-Artikel 327850 "How To: Configure and Use Automatic Updates in Windows 2000" unter folgender Adresse: https://support.microsoft.com/default.aspx?scid=327850.
So konfigurieren Sie automatische Updates mit Windows XP
Klicken Sie mit der rechten Maustaste auf das Symbol Arbeitsplatz auf dem Desktop oder auf das Symbol System in der Systemsteuerung.
Klicken Sie dann auf Systemeigenschaften.
Weitere Informationen über automatische Updates und Windows XP finden Sie im Microsoft Knowledge Base-Artikel 306525 "How To: Configure and Use Automatic Updates in Windows XP" unter folgender Adresse:
https://support.microsoft.com/default.aspx?scid=306525.
Automatische Updates sucht und installiert Updates für die folgenden Betriebssysteme (einschließlich .NET Framework und IIS wenn zutreffend):
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows XP Professional
Verwenden Sie neben Automatische Updates auch MBSA, um fehlende Updates für SQL Server, MSDE und MDAC zu ermitteln.
Schützen von IIS
Da ISS für die Webentwicklung oft lokal ausgeführt werden, müssen sie geschützt sein. IISLockdown und URLScan verkleinern die Angriffsfläche Ihres Webservers deutlich. IISLockdown verweist nicht verwendete oder nicht zulässige Skriptzuordnungen auf 404.dll und unterstützt den sicheren Zugriff auf Systemverzeichnisse und Systemtools. URLScan blockiert bekannte gefährliche Anforderungen.
IISLockdown verbessert die IIS-Sicherheit. Wenn Sie jedoch die falschen Installationsoptionen auswählen oder die URLScan-Konfigurationsdatei URLScan.ini nicht ändern, treten möglicherweise folgende Probleme auf:
Sie können keine neuen ASP.NET-Webanwendungen erstellen. NTFS-Dateisystemberechtigungen sind für die Verstärkung von Standardzugriff auf Websites konfiguriert. Das kann dazu führt, dass ein angemeldeter Benutzer keine neuen ASP.NET-Webanwendungen erstellen kann.
Das Debuggen von vorhandenen ASP.NET-Webanwendungen ist nicht möglich. URLScan blockiert das Verb DEBUG, das zum Debuggen von ASP.NET-Webanwendungen verwendet wird.
Die folgenden Schritte zeigen Ihnen, wie die IIS-Sicherheit auf Ihrer Entwicklungsarbeitsstation verbessert werden kann und gleichzeitig die oben genannten Probleme vermieden werden:
IISLockdown installieren und ausführen
URLScan konfigurieren
Den Zugriff auf den lokalen Webserver einschränken
Installieren und Ausführen von IISLockdown
So wird IISLockdown installiert und ausgeführt
Führen Sie das Installationsprogramm IISLockdown (Iislockd.exe) von folgender Adresse aus: https://download.microsoft.com/download/iis50/Utility/2.1/NT45XP/EN-US/iislockd.exe.
Hinweis: Wenn Sie Iislockd.exe erneut ausführen, werden alle Änderungen auf der Grundlage der Protokolldatei \WINNT\System32\Inetsrv\oblt-log.log entfernt.
Wählen Sie während der Installation die Option Dynamic Web Site und die Option für die Installation von URLScan aus. Von ASP.NET-Webformularen wird das Verb HTTP POST verwendet. Die Auswahl der statischen Option und die Installation von URLScan blockieren das Verb POST in der Datei URLScan.ini.
Die Option Dynamic Web Site bewirkt Folgendes:
- POST wird dem Abschnitt [AllowVerbs] hinzugefügt.
[AllowVerbs] GET HEAD POST DEBUGDeaktiviert die folgenden Internetdienste: Webdienst (HTTP), FTP (File Transfer Protocol), den SMTP-E-Mail-Dienst (Simple Mail Transport Protocol) und den Nachrichtendienst NNTP (Network News Transport Protocol).
Ordnet die folgenden Skriptzuordnungen 404.dll zu: Indexserver, Weboberfläche (.idq, .htw, .ida), Serverseitige Includes (.shtml, .shtm, .stm), Internet Data Connector (.idc), HTR scripting (.htr), Internetdrucken (.printer)
Entfernt die folgenden virtuellen Verzeichnisse: IIS Samples, MSADC, IISHelp, Scripts und IISAdmin.
Schränkt den anonymen Zugriff auf Systemdienstprogramme und die Schreibberechtigung für Verzeichnisse mit Webinhalten ein.
Deaktiviert WebDAV (Web Distributed Authoring and Versioning).
Installiert den URLScan-ISAPI-Filter.
Fehlerquellen
Beachten Sie folgende mögliche Fehlerquellen, wenn Sie IISLockdown verwenden:
IIS-Metabasisupdates können verloren gehen. Wenn Sie IISLockdown-Änderungen rückgängig machen, indem Sie Iislockd.exe erneut ausführen, gehen alle Änderungen an der IIS-Metabasis verloren, die seit dem letzten Ausführen von IISLockdown vorgenommen wurden. Wenn Sie zum Beispiel nach der Ausführung von IISLockdown ein virtuelles Verzeichnis als Anwendungsstamm konfigurieren, geht diese Änderung verloren, wenn Sie IISLockdown erneut ausführen.
Ressourcen werden von "404.dll" blockiert. Wenn Sie einen 404-Fehler für eine bisher verfügbare Ressource erhalten, kann das daran liegen, dass der Ressourcentyp von 404.dll blockiert wird. Überprüfen Sie die Skriptzuordnung für den angeforderten Ressourcentyp in IIS, um herauszufinden, ob dies die Ursache ist.
Konfigurieren von URLScan
Der URLScan-ISAPI-Filter wird installiert, wenn Sie IISLockdown ausführen. Wenn Sie das Verb DEBUG nicht ausdrücklich zulassen, verhindert URLScan das Debuggen. URLScan blockiert Anforderungen, die unsichere Zeichen enthalten, zum Beispiel den Punkt (.), der für Angriffe auf Verzeichnisse, dem so genannten "Directory Traversal", verwendet wird.
Bearbeiten Sie URLScan.ini im Verzeichnis%Windir%\System32\inetsrv\urlscan\, um URLScan zu konfigurieren. Wenn Sie das Debuggen mit URLScan zulassen möchten, fügen Sie wie unten dargestellt DEBUG dem Abschnitt [AllowVerbs] in der Datei URLScan.ini hinzu.
[AllowVerbs]
GET
HEAD
POST
DEBUG
Fehlerquellen
Beachten Sie folgende mögliche Fehlerquellen, wenn Sie URLScan installieren:
Wenn Sie eine Anwendung mit Visual Studio.NET debuggen, wird möglicherweise der folgende Fehler angezeigt:
Microsoft-Entwicklungsumgebung: Fehler beim Ausführen des Projekts: Das Debugggen kann auf dem Webserver nicht gestartet werden. Das Debuggen für ASP.NET oder ATL Server konnte nicht gestartet werden. Stellen Sie sicher, dass ASP.NET oder ATL Server korrekt auf dem Server installiert ist. Möchten Sie die Möglichkeit zum Debuggen von ASP.NET-Seiten für dieses Projekt zukünftig deaktivieren?Ein Protokolleintrag ähnlich dem unten aufgeführten sollte in der URLScan-Protokolldatei<datum>.log im Verzeichnis \WINNT\system32\inetsrv\urlscan angezeigt werden.
[01-18-2003 - 22:25:26] Client unter 127.0.0.1: Hat das Verb DEBUG gesendet. Dies ist nicht ausdrücklich erlaubt.Anforderungen, von denen Sie die Ausführung annehmen, werden möglicherweise blockiert.
Sie werden möglicherweise nicht in der Lage sein, neue Webprojekte in Visual Studio.NET zu erstellen, da Sie im Projektnamen Zeichen verwenden, die von URLScan zurückgewiesen werden. So werden zum Beispiel das Komma (,) und das Rautenzeichen (#) blockiert.
Wenn beim Debuggen Fehler auftreten, finden Sie weitere Informationen im Microsoft Knowledge Base-Artikel 306172, "INFO: Common Errors When You Debug ASP.NET Applications in Visual Studio .NET" unter folgender Adresse https://support.microsoft.com/default.aspx?scid=kb;DE-DE;306172.
Schützen von SQL Server und MSDE
Um SQL Server und MSDE zu aktualisieren, müssen Sie:
Patches für jede Instanz von SQL Server und MSDE anwenden
Die Sicherheitskonfiguration von SQL Server und MSDE analysieren
Anwenden von Patches für jede Instanz von SQL Server und MSDE
MSDE verwendet die gleiche Technologie wie SQL Server und ermöglicht Entwicklern, Partnern und IT-Experten, Datenbankanwendungen ohne das SQL Server-Komplettpaket zu erstellen. MSDE kann mit Anwendungen ausgeliefert werden, die Datenbankunterstützung erfordern. Um Patches auf MSDE anzuwenden, müssen Sie wissen, von welcher Anwendung es auf Ihrem System installiert wurde. Dies ist deshalb wichtig, da Sie den Patch für MSDE vom Hersteller dieses Produkts beziehen müssen.
Weitere Informationen zu Anwendungen, die MSDE enthalten, erhalten Sie in folgenden Ressourcen:
- "SQL Server/MSDE-Based Applications" unter http://www.sqlsecurity.com/forum/applicationslistgridall.aspx
Wenn der Drittanbieter der Anwendung keinen Patch für MSDE bereitstellt und Sie dringend die neuesten Patches benötigen, können Sie nur Folgendes tun:
Deinstallieren Sie die Instanz von SQL Server mit der Systemsteuerungsoption Software. Wenn Sie für Ihre Instanz keine Deinstallationsoption finden, müssen Sie möglicherweise die betreffende Anwendung deinstallieren.
Beenden Sie die SQL Server-Instanz mithilfe des Dienste-Snap-Ins der MMC in der Computerverwaltung. Sie können die Instanz auch von der Befehlszeile aus beenden, indem Sie den folgenden Befehl ausführen:
net stop mssqlserver (Standardinstanz), mssql$instancename (für verschiedene Instanzen)Verwenden Sie IPSec, um festzulegen, welche Hosts eine Verbindung mit den aufgegebenen (ungepatchten) Instanzen von SQL Server herstellen können. Schränken Sie den Zugriff auf Localhost-Clients ein.
Analysieren der Sicherheitskonfiguration von SQL Server und MSDE
Verwenden Sie MBSA für die Analyse der Microsoft SQL Server- oder MSDE-Konfiguration auf Ihrer Arbeitsstation.
So analysieren Sie die Sicherheitskonfiguration von SQL Server und MSDE
Führen Sie MBSA aus, indem Sie auf das Desktopsymbol doppelklicken, oder wählen Sie es im Menü Programme aus.
Klicken Sie auf Einen Computer überprüfen. MBSA wird standardmäßig auf den lokalen Computer angewendet.
Deaktivieren Sie alle Kontrollkästchen außer Auf SQL-Anfälligkeiten überprüfen.
Diese Option sucht nach Sicherheitslücken in der Konfiguration von SQL Server 7.0, SQL Server 2000 und MSDE. Hiermit werden unter anderem der Authentifizierungsmodus, das SA-Kontokennwort und das SQL Server-Dienstkonto überprüft.Für einige der Überprüfungen ist es erforderlich, dass Ihre Instanz von SQL Server ausgeführt wird. Starten Sie diese, wenn sie nicht ausgeführt wird.
Klicken Sie auf Überprüfung starten . Ihre Konfiguration wird jetzt analysiert. Wenn die Überprüfung abgeschlossen ist, zeigt MBSA einen Sicherheitsbericht an, den er auch in das Verzeichnis %Userprofile%\SecurityScans schreibt.
Verschaffen Sie sich einen Überblick über fehlgeschlagene Überprüfungen und beheben Sie unsichere Konfigurationseinstellungen.
Klicken Sie auf Ergebnisdetails neben jeder fehlgeschlagenen Überprüfung, um über die Ursache der fehlgeschlagenen Überprüfung weitere Informationen zu erhalten. Klicken Sie auf Vorgehensweise zur Behebung, um Informationen darüber zu erhalten, wie Sie die Sicherheitslücke schließen können.
Weitere Informationen über die Verwendung von MBSA finden Sie unter "Verwenden von Microsoft Baseline Security Analyzer" im entsprechenden Abschnitt dieses Handbuchs.
Bewerten der Konfigurationskategorien
Um die Sicherheit der Konfiguration Ihrer Arbeitsstation zu bewerten, verschaffen Sie sich einen Überblick über die in Tabelle 1 dargestellten Konfigurationskategorien. Beginnen Sie, indem Sie die Kategorien verwenden, um die Sicherheitskonfiguration Ihres Basisbetriebssystems zu bewerten. Wenden Sie anschließend dieselben Konfigurationskategorien an, um Ihre IIS-, SQL Server- und .NET Framework-Installation zu überprüfen.
Tabelle 1 Konfigurationskategorien
Konfigurationskategorie |
Verfahrensweise |
|---|---|
Patches und Updates |
Installation von automatischen Updates. Verwenden Sie MBSA oder Windows Updates, um sicherzustellen, dass die neuesten Updates installiert sind |
Dienste |
Deaktivieren Sie nicht verwendete Dienste. |
Protokolle |
Überprüfen Sie, ob SMB und NetBIOS über TCP entfernt wurden, wenn Ihre Arbeitsstation kein Mitglied einer Domäne ist. |
Konten |
Stellen Sie sicher, dass alle lokalen Konten sichere Kennwörter verwenden. |
Dateien und Verzeichnisse |
Vergewissern Sie sich, dass Ihre Arbeitsstation nur NTFS-Partitionen verwendet. |
Freigaben |
Listen Sie Freigaben auf, entfernen Sie nicht benötigte Freigaben, und schützen Sie die verbleibenden mit eingeschränkten Berechtigungen. |
Ports |
Schließen Sie nicht verwendete Ports, indem Sie den Dienst, dem der geöffnete Port zugeordnet ist, deaktivieren. Verwenden Sie den Befehl netstat -n -a , um herauszufinden, welche Ports verwendet werden. |
Registrierung |
Deaktivieren Sie Null-Sitzungen. |
Überwachen und Protokollieren |
Überwachen Sie fehlgeschlagene Windows-Anmeldeversuche und protokollieren Sie fehlgeschlagene Aktionen im gesamten Dateisystem. |
Stay Secure
Überwachen Sie den Sicherheitsstatus Ihrer Arbeitsstation und wenden Sie regelmäßig Updates an, um zu verhindern, dass neu entdeckte Sicherheitslücken ausgenutzt werden. Verwenden Sie Windows Update.
Sie können auch den "Hotfix & Security Bulletin Service" auf der TechNet-Website unter folgender Adresse verwenden: https://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp. Dort sind auch die für Ihr System verfügbaren Security Bulletins veröffentlicht.