ユーティリティ スポットライト
Microsoft Baseline Security Analyzer 2.1
Lance Whitney
社内の全コンピューターのセキュリティ設定と更新プログラムの記録を取る作業は、専任の担当者が必要になる仕事です。サポートしている全クライアントとサーバーが適切にセキュリティで保護されるようにする方法について悩んでいる場合は、マイクロソフトが無償で提供している Microsoft Baseline Security Analyzer がお勧めです。
Microsoft Baseline Security Analyzer (MBSA) では、ワークステーションやサーバーをスキャンして、セキュリティ ホールや脆弱性がないかどうかを確認します。また、推奨されているセキュリティ更新プログラムが、すべて適用されているかどうかも特定できます。問題がある場合は、その問題を修復するための手順が提供されます。
まず、MBSA の MSI ファイルをダウンロードしますが、ダウンロードする際には、言語と OS の種類 (32 ビットまたは 64 ビット) を選択する必要があります。インストールしたら、デスクトップのショートカット アイコンまたは [スタート] メニューから Microsoft Baseline Security Analyzer 2.1 を起動します。
最初に、スキャンするコンピューターを選択します。ローカル コンピューターとネットワーク コンピューターのどちらもスキャン対象として選択できます。ドメイン名や IP アドレスの範囲を指定して、スキャンするコンピューターを一括指定することもできます。1 台のコンピューターをスキャンする場合、既定のスキャン対象はローカル コンピューターですが、IP アドレスを指定して他のコンピューターをスキャンすることもできます。
MBSA のスキャン メニューでは、次の一部またはすべてのチェックを実行できます (既定では、すべてのチェック項目が選択されています)。
Windows の管理上の脆弱性をチェックする: Windows のアカウントに関連する問題をチェックします (Guest アカウントが有効になっているかどうか、管理権限を持っているアカウントが多すぎないかどうかなど)。また、ファイル共有の数やコンピューターのファイル システムで FAT ではなく、よりセキュリティが強化された NTFS を使用していることを確認します。
脆弱なパスワードをチェックする: すべてのアカウントについて空のパスワードや脆弱なパスワードが使用されていないことを確認します。
IIS の管理上の脆弱性をチェックする: IIS 5.0 または IIS 6.0 を実行しているコンピューターについて、すべての必要な既定のセキュリティ オプションが設定されていることと、修正プログラムが適用されていることを確認します。このツールでは、IIS 7.0 はサポートしていません。
SQL Server の管理上の脆弱性をチェックする: コンピューターにインストールされている任意のバージョンの SQL Server または Microsoft SQL Server Data Engine (MSDE) をスキャンして、Windows 認証モードと混合モード (Windows 認証と SQL 認証) のどちらを使用しているかを確認します。また、システム管理者アカウントのパスワードの状態も確認します。
セキュリティ更新プログラムをチェックする: すべてのセキュリティ更新プログラムの状態を確認して、適用されていないものを特定します。このオプションは、クライアントに Microsoft Update をインストールして、MBSA で更新プログラムの適用状況をスキャンするときにも使用できます。また、Microsoft Update と Windows Server Update Services (WSUS) のどちらをスキャン時に使用するかを指定できます。
適切なオプションとコンピューターを選択したら、スキャンを開始します。通常、スキャンの実行には数分かかります。MBSA では、詳細なオンライン レポートが生成され、スキャンした項目ごとに結果が表示されます (図 1 参照)。レポートでは、検出した情報をスキャン メニューのオプションと対応するカテゴリで分類されています。カテゴリには、管理上の脆弱性、SQL Server のスキャン結果、セキュリティ更新プログラムのスキャン結果などがあります。
図 1 オンライン レポートとして表示される MBSA スキャンの結果
問題がある項目については、さまざまな詳細情報を確認できます。[スキャンされた内容] をクリックすると、各項目がスキャンされた理由とその評価結果の理由を確認できます。[結果の詳細情報] をクリックすると、特定のアカウントやアプリケーションなど、問題のある項目を特定できます。[修正方法] をクリックすると、問題を修正するための詳しい説明と手順が表示されます。
MBSA では、Windows 2000、Windows XP、Windows Vista、Windows Server 2003、および Windows Server 2008 がサポートされており、32 ビット システムと 64 ビット システムのどちらもスキャンできます。
Lance Whitney は、IT コンサルタントであり、ソフトウェア トレーナーであり、テクニカル ライターでもあります。Windows のワークステーションおよびサーバーをカスタマイズすることに数えきれないほどの時間を費やしてきました。元々はジャーナリストでしたが、1990 年代初頭に IT 業界への転向を実現しました。