Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dernière mise à jour le 31 août 2004
Sur cette page
Objectifs
S'applique à
Comment utiliser ce module
Résumé
Avant de commencer
À savoir avant de commencer
Recherche des mises à jour de sécurité et des correctifs
Recherche de mises à jour et de correctifs sur plusieurs systèmes
Spécificités SQL Server et MSDE
Analyse en vue d'une configuration sécurisée
Informations complémentaires
Ressources complémentaires
Objectifs
Ce module vous permettra :
d'analyser votre ordinateur pour identifier les mises à jour de sécurité qui vous manquent ;
de vérifier les configurations par défaut non sécurisées ;
S'applique à
Ce module s'applique aux produits et technologies suivants :
Serveurs utilisant les systèmes d'exploitation Microsoft® Windows® 2000 Server ou Microsoft Windows Server™ 2003.
Stations de travail pour développeurs utilisant Windows 2000 (toutes versions), Windows XP Professionnel ou Windows Server 2003
Microsoft SQL Server™ 2000 dont Édition Desktop (MSDE).
Comment utiliser ce module
Pour tirer le meilleur parti de ce module :
- Vous devez être familiarisé avec les concepts de sécurité Windows.
Résumé
MBSA (Microsoft Baseline Security Analyzer) recherche les mises à jour du système d'exploitation et de SQL Server. Il analyse aussi l'ordinateur pour déceler les configurations non sécurisées. Lorsqu'il recherche des services packs et des correctifs, il inclut des composants Windows comme Internet Information Service (IIS) et COM+. MBSA utilise un fichier XML comme manifeste des mises à jour existantes. Ce fichier XML, qui se trouve dans l'archive Mssecure.cab, peut être soit téléchargé par MSBA à l'exécution d'une analyse, soit téléchargé sur l'ordinateur local, soit être mis à disposition sur un serveur réseau.
Ce module décrit comment installer MBSA et comment l'utiliser pour améliorer la sécurité d'un ordinateur utilisant le système d'exploitation Windows.
Avant de commencer
Installez MBSA, à l'aide de Mbsasetup.msi, dans un répertoire d'outils. Copiez le ficher Mssecure.cab dans le répertoire d'installation de MBSA.
Téléchargement de MBSA. Téléchargez MBSA depuis la page d'accueil MBSA : http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/mbsahome.asp.
Mises à jour de MSBA : Si la machine utilisée dispose d'un accès à Internet, il est possible de télécharger automatiquement le fichier XML de sécurité le plus récent, le cas échéant. Si votre ordinateur ne dispose pas d'un accès à Internet, vous devez télécharger le fichier XML le plus récent à l'aide du fichier .cab signé à l'adresse suivante : http://download.microsoft.com/download/xml/security/1.0/NT5/EN-US/mssecure.cab.
Le fichier .cab est signé numériquement pour assurer qu'il n'a pas été modifié. Vous devez le décompresser et le stocker dans le répertoire où réside MBSA.
Remarque : pour afficher le fichier XML le plus récent sans le télécharger, utilisez l'adresse suivante : http://www.microsoft.com/technet/security/search/mssecure.xml
Répertoire d'installation par défaut : \Program Files\Microsoft Baseline Security Analyzer\.
Remarque : vous devez exécuter des commandes à partir de ce répertoire. MBSA ne crée pas automatiquement de variable d'environnement.
À savoir avant de commencer
Avant de commencer ce module, tenez compte des informations suivantes :
Vous pouvez exécuter MBSA en utilisant l'interface utilisateur graphique GUI ou la ligne de commande. L'exécutable à interface graphique s'appelle Mbsa.exe, celui de la ligne de commande Mbsacli.exe.
MBSA utilise les ports 138 et 139 pour effectuer ses analyses.
MBSA nécessite des privilèges administrateur sur l'ordinateur à analyser. Les options /u (username) et /p (password) peuvent être utilisées pour spécifier le nom d'utilisateur afin d'exécuter l'analyse. Ne conservez pas vos noms d'utilisateur et vos mots de passe dans des fichiers texte, tels que des fichiers de commandes ou des scripts.
MBSA nécessite les logiciels suivants :
Système d'exploitation Microsoft Windows NT® 4.0 avec Service Pack 4 et versions ultérieures, Windows 2000 ou Windows XP (les analyses locales ne sont permises que sur les ordinateurs Windows XP qui utilisent un partage de fichiers simples)
Internet Information Services (IIS) 4.0, 5.0 (requis pour les contrôles de vulnérabilité d'IIS)
SQL Server 7.0, 2000 (requis pour les contrôles de vulnérabilité des SQL)
Microsoft Office 2000, XP (requis pour les contrôles de vulnérabilité d'Office)
Les services suivants doivent être installés/activés : service Serveur, service Registre distant, partage de fichiers et d'imprimantes.
Vous trouverez des astuces sur la façon de travailler avec MBSA dans la section Informations complémentaires, plus loin dans ce module.
Recherche des mises à jour de sécurité et des correctifs
Vous pouvez exécuter Mbsa.exe et Mbsacli.exe avec des options pour rechercher des correctifs de sécurité.
Utilisation de l'interface graphique
Utilisez l'outil GUI de MBSA comme indiqué ci-dessous.
Pour rechercher des mises à jour et des correctifs à l'aide de l'interface graphique de MBSA
Dans le menu Programmes, cliquez sur Microsoft Baseline Security Analyzer.
Cliquez sur Analyser un ordinateur.
Assurez-vous que les options suivantes ne sont pas sélectionnées, puis cliquez sur Démarrer l'analyse.
Rechercher les vulnérabilités de Windows
Rechercher les mots de passe faibles
Rechercher les vulnérabilités IIS
Rechercher les vulnérabilités SQL
L'avantage de l'interface graphique, c'est que le rapport s'ouvre immédiatement après l'analyse de l'ordinateur local. Vous trouverez plus bas dans cette section plus de détails sur l'interprétation du rapport.
Utilisation de la ligne de commande (Mbsacli.exe)
Si vous souhaitez utiliser l'outil de ligne de commande (Mbsacli.exe) pour rechercher les mises à jour de sécurité et les correctifs, exécutez la commande suivante dans une fenêtre de commande. Elle analyse l'ordinateur spécifié (via son adresse IP) et recherche les mises à jour manqu
mbsacli /i 192.168.195.137 /n OS+IIS+SQL+PASSWORD
Une analyse réussie donne des résultats semblables à ceux indiqués ci-dessous :
Scanning...
[ ] 0 o[..........] 1 of 1 computer scan(s) complete.
Scan Complete.
Computer Name, IP Address, Assessment, Report Name
---------------------------------------------------
Workgroup\SECNETSQL, 192.168.195.137, Severe Risk, Workgroup - SECNETSQL (04-07-
2003 03-01 PM)
Vous pouvez afficher le rapport en utilisant Mbsacli.exe, mais cela n'est pas conseillé : il est plus facile d'extraire les détails du correctif avec l'interface graphique. La commande ci-dessous permet d'afficher un rapport d'analyse avec Mbsacli.exe :
mbsacli /ld "SecurityReportFile.xml"
Analyse du résultat
Un fichier de rapport est généré dans le répertoire de profils de l'utilisateur connecté (%userprofile%), sur l'ordinateur à partir duquel vous avez exécuté la commande Mbsacli.exe. Pour visualiser les résultats de ces rapports, le plus facile est d'utiliser le mode GUI de MBSA.
Recherche de mises à jour et de correctifs sur plusieurs systèmes
Vous pouvez aussi utiliser MBSA pour analyser plusieurs ordinateurs. Pour ce faire, utilisez le commutateur de ligne de commande /r comme indiqué ci-dessous.
mbsacli /r 192.168.195.130-192.168.195.254 /n OS+IIS+SQL+PASSWORD
La commande ci-dessous analyse tous les ordinateurs entre 192.168.195.130 et 192.168.195.254.
Pour analyser tous les ordinateurs d'un domaine, utilisez l'option /d comme indiqué ci-dessous :
mbsacli /d DOMAINNAME /n OS+IIS+SQL+PASSWORD
Spécificités SQL Server et MSDE
Avec SQL Server (comprenant MSDE), les instances sont analysées individuellement et apparaissent séparément dans le rapport. Elles sont affichées avec un nom d'instance, comme indiqué à la figure 1.
.jpg)
Figure 1 Spécificités SQL Server et MSDE
Analyse en vue d'une configuration sécurisée
MBSA analyse le système pour rechercher non seulement les mises à jour de sécurité manquantes, mais aussi les configurations non sécurisées. Pour consulter la liste détaillée des éléments analysés, veuillez vous reporter à la documentation MBSA à l'adresse suivante : http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/mbsawp.asp.
L'analyse visant à sécuriser la configuration peut être effectuée en plusieurs étapes :
Effectuez l'analyse.
Analysez les résultats de la recherche.
Corrigez les problèmes éventuels.
Ces différentes étapes sont décrites ci-dessous.
Effectuer l'analyse
Exécutez MBSA et désélectionnez Rechercher les mises à jour de sécurité avant de lancer l'analyse.
Analyser les résultats de la recherche
Le rapport est semblable à celui généré après la recherche de correctifs que vous avez effectuée plus tôt. La seule différence est que le lien Comment corriger le problème est accessible lorsque les problèmes sont identifiés. Si vous cliquez sur ce lien, une page s'affiche avec les détails relatifs au problème identifié, la solution à ce problème et la marche à suivre pour le corriger.
Comparez les détails du problème à votre stratégie de sécurité et suivez les instructions si le problème n'est pas mentionné dans votre stratégie.
Corriger les problèmes rencontrés
Cliquez sur le lien Comment corriger le problème. Dans la page des résultats, la solution et les instructions vous indiquent les mesures que vous devez prendre pour corriger le problème.
Informations complémentaires
Les informations suivantes vous aideront à résoudre les erreurs d'analyse ou à comprendre les incohérences entre plusieurs analyses.
Fausses réponses positives après recherche des mises à jour de sécurité
Il peut arriver que MBSA signale qu'une mise à jour n'est pas installée, même si vous venez de terminer une mise à jour ou de suivre les instructions données dans un bulletin de sécurité. Ces faux rapports peuvent s'expliquer de deux façons :
Les fichiers analysés ont été mis à jour par une installation sans rapport avec un bulletin de sécurité. Par exemple, un fichier partagé par différentes versions d'un même programme peut être mis à jour par la version la plus récente. MBSA n'a pas connaissance des nouvelles versions et, parce que cela ne correspond pas à ce qui était prévu, le rapport indique que la mise à jour est manquante.
Certains bulletins de sécurité ne concernent pas une mise à jour de fichier mais un changement de configuration qui ne peut pas être vérifié. Ces types d'indicateurs apparaissent sous forme de remarques ou de messages d'avertissement, signalés par des X jaunes.
Ils doivent être notés et ignorés lors des analyses suivantes.
Conditions requises pour la réalisation d'analyses à distance
Pour analyser un ordinateur, MBSA utilise les services réseau suivants :
Windows NT 4.0 avec Service Pack 4 et versions ultérieures, Windows 2000 ou Windows XP (les analyses locales ne sont permises que sur les ordinateurs Windows XP qui utilisent un partage de fichiers simples)
IIS 4.0, 5.0 (requis pour les contrôles de vulnérabilité des IIS)
SQL Server 7.0, 2000 (requis pour les contrôles de vulnérabilité des SQL)
Les services suivants doivent être installés ou activés : service Serveur, service Registre distant, partage de fichiers et d'imprimantes.
Si l'un ou l'autre de ces services n'est pas disponible ou que les partages administratifs (C$) ne sont pas accessibles, des erreurs se produiront pendant l'analyse.
Analyse de mot de passe
La vérification de mot de passe effectuée par MBSA peut être longue, en fonction du nombre de comptes utilisateur sur la machine. La vérification de mots de passe vérifie tous les comptes utilisateur et fait plusieurs tentatives de changement de mot de passe en recherchant les anomalies courantes (par exemple lorsque le mot de passe est identique au nom de l'utilisateur). Les utilisateurs peuvent désactiver cette vérification avant d'analyser les contrôleurs de domaine sur leur réseau. Pour plus de détails sur la vérification des mots de passe de MBSA, veuillez vous reporter à la rubrique « Local Accounts Passwords » du Livre blanc TechNet http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/mbsawp.asp.
Différences entre Mbsa.exe et Mbsacli.exe
Il est important de connaître les différences entre les options par défaut des deux clients de MBSA : l'outil GUI, Mbsa.exe, et l'outil de ligne de commande, Mbsacli.exe. Les exemples donnés précédemment dans ce module tiennent compte de ces options par défaut.
L'interface graphique de MBSA appelle /nosum, /v et /baseline par défaut. Les détails de ces options sont :
/nosum La recherche des mises à jour de sécurité ne testera pas les totaux de contrôle des fichiers.
/v Affiche les codes des raisons des mises à jour de sécurité.
/baseline Ne recherche que les mises à jour de sécurité de base.
La ligne de commande de MBSA n'appelle aucune option et exécute l'analyse par défaut.
Ressources complémentaires
La page d'accueil de MBSA est la meilleure ressource pour trouver les dernières informations sur Microsoft Baseline Security Analyzer. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/MBSAhome.asp.