Whitepaper: Microsoft Baseline Security Analyzer V1.2 Microsoft Corporation Veröffentlich im Januar 2004 1 © 2004 Microsoft Corporation. Alle Rechte vorbehalten. Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft Corporation zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Marktanforderungen reagieren muss, stellt dies keine Verpflichtung seitens Microsoft dar, und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren. Dieses Dokument dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIESES DOKUMENT JEDE GEWÄHRLEISTUNG AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT. Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht. Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt. Microsoft, ActiveX, Windows, the Windows logo und Windows NT sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Weitere in diesem Dokument aufgeführte Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen Inhaber sein. 2 Inhaltsverzeichnis Inhaltsverzeichnis .................................................................................................................................................... 3 Zusammenfassung .................................................................................................................................................. 4 Neue Features des MBSA V1.2 ............................................................................................................................... 4 Unterstützung für zusätzliche Sprachen .............................................................................................................. 4 Unterstützung für zusätzliche Produkte ............................................................................................................... 4 Unterstützung für alternativen Dateiversionen ..................................................................................................... 5 Abrufen von neuen Versionen ............................................................................................................................. 5 Zusätzliche Windows-Sicherheitsprüfungen ........................................................................................................ 5 Benutzerdefinierte Einstellungen für die Internet Explorer-Zonen ....................................................................... 5 Neue Kommandozeilenschalter ........................................................................................................................... 5 Features des MBSA V1.2 ........................................................................................................................................ 6 Prüfung der Systemkonfiguration ........................................................................................................................ 6 Sicherheitsupdates .............................................................................................................................................. 6 Unterstützung von Software Update Services (SUS) 1.0..................................................................................... 8 Systems Management Server-Unterstützung ...................................................................................................... 8 Überprüfungsmodi ................................................................................................................................................... 8 Auswahl zu prüfenden Computer ........................................................................................................................ 8 Überprüfungsarten ............................................................................................................................................... 9 Überprüfungsberichte anzeigen ........................................................................................................................... 9 Netzwerküberprüfungen ...................................................................................................................................... 9 Prüfen von lokalisierten Betriebssystemversionen .............................................................................................. 9 Beschreibung der Sicherheitsüberprüfungen......................................................................................................... 10 Windows-Überprüfungen ................................................................................................................................... 10 IIS-Überprüfungen ............................................................................................................................................. 13 SQL-Überprüfungen .......................................................................................................................................... 15 Überprüfungen von Sicherheitsupdates............................................................................................................. 18 Überprüfung von Anwendungen ........................................................................................................................ 19 Zusätzliche Informationen...................................................................................................................................... 20 Microsoft-Sicherheitsstrategien und -lösungen .................................................................................................. 20 Partnerunterstützung für Microsoft-Sicherheitslösungen ................................................................................... 20 3 Zusammenfassung Der Microsoft® Baseline Security Analyzer (MBSA) ist ein Werkzeug, das es Benutzern ermöglicht, einen oder mehrere Windows-basierte Computer auf häufig auftretende Fehlkonfigurationen zu prüfen. Er prüft nicht nur das Betriebssystem, sondern auch andere Komponenten (zum Beispiel die Internetinformationsdienste und SQL Server) und stellt Fehlkonfigurationen fest, und gleicht ab, ob alle empfohlenen Sicherheitsupdates installiert wurden. Neue Features des MBSA V1.2 Der MBSA ist ein Werkzeug zur Sicherheitsbeurteilung von Windows NT4-, Windows 2000-, Windows XP- und Windows Server 2003-Systemen. Er untersucht Betriebssysteme, IIS, SQL und Desktop Anwendungen auf Fehlkonfigurationen und kann nach fehlenden Sicherheitsupdates für Windows, Internet Explorer, Windows Media Player, IIS, SQL Server, Exchange, Microsoft Office, Microsoft Data Access Components, Microsoft Virtual Machine, MSXML, BizTalk Server, Commerce Server, Content Management Server und Host Integration Server suchen. Die Version 1.2 des MBSA wurde im Januar 2004 veröffentlicht und enthält gegenüber der Version 1.1.1 die folgenden neuen Features und Aktualisierungen. Download-Seiten deutsch: http://download.microsoft.com/download/4/3/6/4367ed02-f546-46e0-b51bf4b8a7a23a03/MBSASetup-de.msi englisch: http://download.microsoft.com/download/d/7/5/d757ff81-4f97-4a6d-a9d8edea72363aa8/MBSASetup-en.msi Unterstützung für zusätzliche Sprachen Der MBSA V1.2 steht nun für die englische, deutsche, französische und japanische Windows-Version zur Verfügung. Die jeweiligen Versionen laden die mssecure.xml Datei, die SicherheitsupdateInformationen für die ausgewählte Sprache enthalten, automatisch, sobald Änderungen vorliegen. Wenn die XML-Datei in der passenden Sprache nicht zur Verfügung steht, wird automatisch die englische XML-Datei verwendet (mit ausgeschalteten Prüfsummen, wenn eine nicht auf die englische Sprache eingestellt Maschine untersucht wird). Unterstützung für zusätzliche Produkte MBSA V1.2 prüft nun auch die folgenden Produkte auf Sicherheitsupdates: Exchange Server 2003 Microsoft Office (nur lokale Überprüfungen; beachten Sie die entsprechende Produktliste) Microsoft Data Access Components (MDAC) 2.5, 2.6, 2.7 und 2.8 Microsoft Virtual Machine MSXML 2.5, 2.6, 3.0 und 4.0 BizTalk Server 2000, 2002 und 2004 Commerce Server 2000 und 2002 Content Management Server (CMS) 2001 und 2002 SNA Server 4.0, Host Integration Server (HIS) 2000 und 2004 4 Anmerkung: Die Unterstützung für Microsoft Office wurde über die Integration des Office Update Inventory Tools implementiert. Unterstützung für alternative Dateiversionen Der MBSA V1.2 unterstützt nun unterschiedliche Dateiversionen. Gründe für unterschiedliche Dateiversionen oder Prüfsummen sind zum Beispiel: QFE (Quick Fix Engineering)/LDR (Limited Distributed Release) im Gegensatz zu GDR (General Distributed Release) Sicherheitsupdates Veröffentlichung von Sicherheitsupdates für Einzelprozessor- und Mehrfachprozessorsysteme Updates ohne Security Bulletin und Updates mit Security Bulletin Überarbeitete (aktualisierte) Security Bulletins In den vorherigen Versionen des MBSA wurden solche Updates mit einem gelben X gekennzeichnet. Zusätzlich wurde eine Warnung ausgegeben: „File version greater than expected". Im MBSA V1.2 mit dem Alternate File Version Support, können solche Warnungen unterdrückt werden und die aufgeführten Fälle untersucht werden, ob einige der in mssecure.xml gelisteten Dateien mit denen auf der Maschine gefundenen übereinstimmen. Abrufen von neuen Versionen Der MBSA V1.2 kann automatisch nach neuen MBSA-Versionen suchen. Wenn eine solche Version zur Verfügung steht, wird der Benutzer benachrichtigt – und zwar sowohl bei der grafischen Version als auch bei der Kommandozeilen-Version des MBSA. Zusätzliche Windows-Sicherheitsprüfungen Der MBSA V1.2 überprüft die Einstellungen des Automatisches Update-Features und der Internetverbindungsfirewall (Internet Connection Firewall, ICF). Der MBSA zeigt an, ob Automatisches Update aktiviert ist, ob das Feature für einen automatischen Download und für eine automatische Installation konfiguriert ist und ob es über eine Gruppenrichtlinie aktiviert und konfiguriert wurde. Der MBSA zeigt für jede Netzwerkverbindung des Computers an, ob die ICF aktiviert wurde und ob Ports für einen externen Zugriff geöffnet sind. Benutzerdefinierte Einstellungen für die Internet Explorer-Zonen Der MBSA 1.2 verarbeitet nun auch benutzerdefinierte IE-Zoneneinstellungen und vergleicht diese mit den empfohlenen Zoneneinstellungen. Der Bericht zeigt alle Zoneneinstellungen an, die niedriger als die empfohlenen Standardeinstellungen sind. Neue Kommandozeilenschalter Der MBSA 1.2 stellt die folgenden neuen Schalter zur Verfügung. Sie können Sie mit mbsacli.exe oder mbsacli.exe /hf verwenden: -unicode (erstellt eine Unicode-Ausgabe für die Benutzer, die die japanische Version des MBSA verwenden oder japanische Windows-Computer überprüfen) -nvc (verhindert, dass der MBSA nach einer neueren MBSA-Version sucht) 5 Features des MBSA V1.2 Der MBSA V1.2 kann Computer unter Windows NT 4, Windows 2000, Windows XP Professional, Windows XP Home Edition und Windows Server 2003 prüfen. MBSA kann von jedem Computer unter Windows 2000 Professional, Windows 2000 Server, Windows XP Home, Windows XP Professional oder Windows Server 2003 ausgeführt werden. Prüfung der Systemkonfiguration Windows-Betriebssystem Der MSBA sucht im Betriebssystem (Windows NT 4, Windows 2000, Windows XP, Windows Server 2003) nach allgemeinen Sicherheitsproblemen, wie zum Beispiel dem Status des Gastkontos, Dateisystemtyp, verfügbaren Dateifreigaben, Mitgliedern der lokalen Administratoren-Gruppe usw. Die Ergebnisse der Betriebssystemüberprüfung werden - zusammen mit Anweisungen zur Behebung aller gefundenen Sicherheitsprobleme - im Überprüfungsbericht angezeigt. Internet Information Server Diese Gruppe von Tests sucht nach Sicherheitsproblemen im Zusammenhang mit IIS 4.0, 5.0 und 6.0 – dieses können zum Beispiel bestimmten virtuellen Verzeichnissen und Beispielanwendungen sein. Der MBSA prüft außerdem, ob das Tool IIS-Lockdown auf dem Computer ausgeführt wurde. IISLockdown kann dem Administrator bei der Konfiguration und Absicherung der IIS-Server helfen. Die Ergebnisse der IIS-Überprüfung werden, zusammen mit Anweisungen zur Behebung aller gefundenen Sicherheitsprobleme, im Sicherheitsbericht angezeigt. Microsoft SQL Server Diese Gruppe von Tests prüft SQL Server 7.0 und SQL Server 2000 auf Sicherheitsprobleme, wie zum Beispiel den Authentifizierungsmodus, den Passwortstatus des SA-Kontos und die Gruppenmitgliedschaften des SQL-Dienstkontos. Die Ergebnisse der SQL-Überprüfung werden zusammen mit Anweisungen zur Behebung aller gefundenen Sicherheitsprobleme - im Sicherheitsbericht angezeigt. Desktop-Anwendungen Diese Gruppe von Tests prüft die Zoneneinstellungen von Internet Explorer 5.01 und höher und die Makroeinstellungen von Office 2000, Office XP und Office System 2003 für jedes lokale Benutzerkonto. Sicherheitsupdates Der MBSA kann über die XML-Datei (mssecure.xml) feststellen, welche kritischen Sicherheitsupdates für ein System anstehen. Diese XML-Datei wird von Microsoft kontinuierlich gepflegt und erweitert. Sie enthält Informationen darüber, welche Sicherheitsupdates für die einzelnen Microsoft-Produkte verfügbar sind. Bei diesen Informationen handelt es sich um die Namen der entsprechenden Security Bulletins, deren Titel, detaillierte Daten über produktspezifische Sicherheitsupdates, die im Paket enthaltenen Dateien und ihrer Versionsnummern und Prüfsummen, Registrierungsschlüssel, die durch das Paket aktualisiert werden, Informationen über Updates, die von diesem ersetzt werden, die betreffenden Artikelnummern der Microsoft Knowledge Base und vieles andere. Wenn Sie den MSBA das erste Mal starten, benötigt er eine Kopie der XML-Datei, um festzustellen, welche Sicherheitsupdates für die Produkte zur Verfügung stehen. 6 Anmerkung: Jedes Mal, wenn der MBSA ausgeführt wird, versucht er auf das Internet zuzugreifen und die CAB-Datei von Microsoft herunterzuladen. Wenn keine Internetverbindung zur Verfügung steht, prüft das Tool, ob eine lokale Kopie der CAB/XMLDatei im MBSA-Installationsordner vorhanden ist. Jedes Mal, wenn die Datei erfolgreich heruntergeladen wurde, wird diese lokal gespeichert. Wenn ein Computer nicht mit dem Internet verbunden ist, kann der Benutzer die Datei separat im Microsoft Download Center herunterladen und sie manuell auf den Computer kopieren. Die XML-Datei steht im Microsoft Download Center in komprimierter Form zur Verfügung (eine digital signierte CAB-Datei). Der MBSA lädt diese CAB-Datei herunter, überprüft die Signatur und dekomprimiert sie dann auf dem Computer, auf dem er ausgeführt wird. Eine CAB-Datei ist eine komprimierte Datei und entspricht einer ZIP-Datei. Nachdem die CAB-Datei dekomprimiert wurde, überprüft der MBSA Ihren Computer (oder die ausgewählten Computer), um festzustellen, welches Betriebssystem ausgeführt wird und welche Programme und Servicepacks installiert sind. Dann bestimmt der MBSA mit Hilfe der XML-Datei, welche Sicherheitsupdates für die von Ihnen installierte Software verfügbar sind. Um festzustellen, ob ein Sicherheitsupdate auf einem Computer installiert ist, überprüft der MBSA drei Punkte: Den Registrierungsschlüssel, der durch das Update hinzugefügt wird, die Dateiversion(en) und die Prüfsummen aller Dateien, die durch das Update installiert wurden. Wenn einer dieser Tests fehlschlägt, wird das Update im Überprüfungsbericht als fehlend angezeigt. Der MSBA sucht nicht nur nach Sicherheitsupdates für Windows, sondern auch nach Updates für andere Produkte. Die folgenden Produkte werden auf verfügbare Updates überprüft: Windows NT 4.0 (ohne mbsacli.exe /hf sind nur Remoteüberprüfungen möglich) Windows 2000 Windows XP Windows Server 2003 Internet Explorer 5.01 und höher (inklusive Internet Explorer 6.0 für Windows Server 2003) Windows Media Player 6.4 und höher IIS 4.0, 5.0, 5.1 und 6.0 SQL Server 7.0 und 2000 (inklusive Microsoft Data Engine) Exchange Server 5.5, 2000 und 2003 (inklusive Exchange-Verwaltungstools) Microsoft Office (nur lokale Überprüfungen; beachten Sie bitte die Liste der unterstützen Office-Produkte) Microsoft Data Access Components (MDAC) 2.5, 2.6, 2.7 und 2.8 Microsoft Virtual Machine MSXML 2.5, 2.6, 3.0 und 4.0 BizTalk Server 2000, 2002 und 2004 Commerce Server 2000 und 2002 Content Management Server (CMS) 2001 und 2002 SNA Server 4.0, Host Integration Server (HIS) 2000 und 2004 Wenn Sie die Version des MSBA mit graphischer Benutzeroberfläche verwenden (mbsa.exe), werden automatisch die Schalter –baseline und –nosum genutzt. Die Option –baseline sucht nach Updates, die auf der Windows-Updateseite als kritische Sicherheitsupdates markiert sind. Mit der Option -nosum werden keine Prüfsummentests durchgeführt. 7 Bei der Kommandozeilenversion des MBSA (mbsacli.exe) müssen diese zwei Schalter extra angegeben werden, um die gleichen Ergebnisse zu erreichen. Bei einer Prüfung in der HFNetChkVariante (Schalter /hf) müssen diese Schalter ebenfalls per Hand angegeben werden. Anmerkung: Wenn MBSA im HFNetChk- Modus (mbsacli.exe /hf) ausgeführt wird, werden Office- Updates nicht überprüft. Office Updates werden nur von MBSA GUI (mit grafischer Oberfläche) und mbsacli.exe mittels Office Update Inventory Tool Code geprüft. Unterstützung von Software Update Services (SUS) 1.0 Mit dem MBSA V1.2 können Überprüfungen gegen einen lokalen SUS-Server vorgenommen werden. Diese Option kann sowohl über die MBSA-Benutzerschnittstelle, als auch über die Kommandozeilenschnittstelle verwendet werden. Dieser Teil der Überprüfung wird dann gegen die Liste der genehmigten Sicherheitsupdates, die der lokale SUS-Server zur Verfügung stellt, durchgeführt. Im Gegensatz hierzu wird sonst eine Überprüfung gegen eine komplette Liste aller verfügbaren Sicherheitsupdates vorgenommen. Diese stammt aus der Datei mssecure.xml, welche sich der MSBA zur Laufzeit herunterlädt. Systems Management Server-Unterstützung Das SMS 2.0 Software Update Services Feature Pack bietet Geschäftskunden eine Lösung zur Verwaltung von Sicherheitspatches für Windows NT 4.0-, Windows 2000- und Windows XP-Clients. Das Feature Pack verwendet die Technologie des MBSA, um automatische und regelmäßige Überprüfungen der auf den Clientcomputern installierten oder zur Installation empfohlenen Sicherheitsupdates auszuführen. Diese Daten werden konvertiert und den Verzeichnisinformationen des System Management Servers hinzugefügt. Sie können dann über webbasierte Berichte von einem zentralen Punkt aus eingesehen werden. Systemadministratoren können die aktuellsten Updates direkt auswählen und von Microsoft importieren. Diese können dann über den Systems Management Server verteilt werden. SMS 2.0-Kunden, die das Feature Pack verwenden, können das aktuellste Feature Pack über den Microsoft Knowledgebase-Artikel 822643 beziehen. Diese Version verwendet dann die aktuellste Version des MBSA. Überprüfungsmodi Auswahl des zu prüfenden Computers Einzelner Computer Das Prüfen eines einzelnen Computers ist der einfachste Operationsmodus des MBSA. Eine typische Anwendung hierfür könnte ein „Selbsttest“ sein. Über die Aktion Einen Computer überprüfen haben Sie die Möglichkeit, den Namen oder die IP-Adresse des zu prüfenden Computers anzugeben. Wenn Sie diese Aktion auswählen, ist als Vorgabe der Name des Computers, auf dem der MBSA ausgeführt wird, eingetragen. Mehrere Computer Wenn Sie Mehrere Computer überprüfen wählen, haben Sie die Möglichkeit, mehr als einen Computer zu prüfen. Sie können eine ganze Domäne (über Eingabe des Domänennamens) prüfen oder einen IP-Adressbereich eingeben und so alle Computer in diesem Bereich prüfen. Anmerkung: Wenn auf MBSA-Art eine Domäne oder mehrere IP-Adressen geprüft werden, versucht MBSA den Account einer jeden Maschine in der Gruppe zu prüfen. Das Tool zeigt an welche Computer nicht geprüft werden konnten und setzt die Prüfung der Rechner fort, die antworten. Wenn auf HFNetChk-Art geprüft wird, suche die HFNetChk Engine nach zwei IP Ports, die für das Prüfen der Rechner nötig sind. Die Prüfung schlägt fehl, wenn kein Zugang zu den Ports besteht. Dieser Vorprüfung beruht nicht auf ICMP. 8 Administrative Rechte Um einen Computer zu prüfen, sind administrative Rechte notwendig. Im Fall eines „Selbsttests“ muss das Konto, mit dem der MSBA gestartet wurde, entweder der Administrator oder ein Mitglied der lokalen Administratoren-Gruppe sein. Wenn Sie mehrere Computer prüfen, müssen sie Domänenadministrator sein oder auf jedem dieser Computer administrative Rechte besitzen. Überprüfungsarten Überprüfung im MBSA-Stil Eine Prüfung im MBSA-Stil prüft und speichert alle Ergebnisse in einer individuellen XML-Datei. Diese wird dann über den MBSA angezeigt (der gleiche Vorgang findet auch beim MBSA Version 1.1.1 statt). Prüfungen im MBSA-Stil können über die Benutzerschnittstelle (mbsa.exe) oder über die Kommandozeilenschnittstelle (mbsacli.exe) vorgenommen werden. Die Prüfungen umfassen die gesamten Prüfungen für Windows, IIS, SQL und Sicherheitsupdates. Überprüfung im HFNetChk-Stil Diese Prüfung überprüft nur fehlende Sicherheitsupdates und gibt die Resultate als Text in der Eingabeaufforderung aus. Dies entspricht dem Verhalten früherer Versionen von HFNetChk. Eine solche Prüfung kann nur über mbsacli.exe mit dem Schalter /hf vorgenommen werden. Er führt eine HFNetChk-Prüfung über die MSBA-Anwendung durch. Diese Überprüfung kann auch lokal auf Windows NT 4.0-Computern durchgeführt werden. Überprüfungsberichte anzeigen Jedes Mal, wenn Sie eine Prüfung im MBSA-Stil vornehmen, wird ein Sicherheitsbericht für jeden geprüften Computer generiert. Dieser wird auf dem Computer, auf dem der MBSA ausgeführt wird, gespeichert. Der Speicherort dieser Berichte wird oben im MBSA-Fenster angezeigt (er befindet sich unter dem Benutzerprofil-Ordner). Die Sicherheitsberichte werden im XML-Format gespeichert. Sie können die Berichte nach Computername, Prüfdatum, IP-Adresse oder Sicherheitsbewertung sortieren. Mit diesem Feature ist es ebenso möglich, Sicherheitsprüfungen über einen längeren Zeitraum zu vergleichen. Netzwerküberprüfungen Der MBSA kann verwendet werden, um bis zu 10.000 Computer über das Netzwerk zu prüfen. Er wurde so entwickelt, dass er mit einem Konto mit den entsprechenden administrativen Rechten in einer Domäne ausgeführt werden kann. In einer mehrfach-Domänenumgebung und mit einer Firewall oder einem filternden Router zwischen den unterschiedlichen Netzwerken (zwei separate Active Directory-Domänen), müssen die TCP-Ports 139 und 445, sowie die UDP-Ports 137 und 138 geöffnet werden. Prüfen von lokalisierten Betriebssystemversionen MBSA lädt mssecure.cab herunter und extrahiert die mssecure.xml-Datei. Diese enthält die Daten zu den Sicherheitsupdates die für ein jedes der oben aufgelisteten Produkte zur Verfügung steht. MBSA prüft anhand der Datei, ob auf dem zu prüfende Rechner die neuesten Sicherheitsupdates installiert wurden. 9 Da der MBSA nun in vier Sprachen zur Verfügung steht, gibt es auch vier Versionen der XML-Datei. Diese sind notwendig, da es möglich ist, dass lokalisierte Produktversionen unterschiedliche Dateiversionen oder Prüfsummen aufweisen. Wenn Sie mbsacli.exe oder mbsacli.exe /hf ausführen, wird eine Überprüfung der Prüfsummen durchgeführt. Diese Überprüfung wird jedoch nur dann durchgeführt, wenn die Sprachversion des Zielcomputers und die der XML-Datei übereinstimmen. Die Überprüfung der Prüfsummen ist das beste Indiz dafür, dass die Version der Patch-Datei auf dem Rechner auch die ist, die von Microsoft herausgegeben wurde. Sie können die Überprüfung in der Kommandozeilenversion über den Schalter -sum erzwingen oder Sie über -nosum deaktivieren. Was passiert, wenn auf einem deutschen System die deutsche Version des MBSA installiert ist und die deutsche Version der Datei mssecure.cab nicht heruntergeladen werden kann? Wenn der MBSA die deutsche Version von mssecure.cab nicht herunterladen kann, sucht er erst einmal im MBSA-Ordner nach einer vorhandenen deutschen Dateiversion. Wenn diese nicht vorhanden ist, versucht er die englische Datei mssecure.cab herunterzuladen. Er verwendet für die Überprüfung der Sicherheitsupdates dann diese XML-Datei. Beschreibung der Sicherheitsüberprüfungen Windows-Überprüfungen Mitgliedschaften in der Gruppe Administratoren Dieser Test identifiziert die Benutzerkonten, die Mitglied in der lokalen Gruppe Administratoren sind. Wenn es mehr als zwei einzelne administrative Konten gibt, listet der Test die Kontonamen auf und markiert dies als potentielle Sicherheitslücke. Prinzipiell ist es sinnvoll, die Zahl der Administratoren möglichst klein zu halten, da diese kompletten Zugriff auf den Computer haben. Überwachung Dieser Test stellt fest, ob die Überwachung auf dem geprüften Computer aktiv ist oder nicht. Microsoft Windows besitzt eine Überwachungsfunktion, die spezielle Ereignisse auf Ihrem System protokolliert. Dies können zum Beispiel erfolgreiche und fehlgeschlagene Anmeldeversuche sein. Wenn Sie Ihr Systemprotokoll überwachen, können Sie mögliche Sicherheitsprobleme und bösartige Aktivitäten erkennen. Automatische Anmeldung Diese Überprüfung ermittelt, ob die Funktion Automatische Anmeldung auf dem überprüften Computer aktiviert ist und ob das Anmeldekennwort in der Registrierung verschlüsselt oder als NurText gespeichert ist. Wenn die automatische Anmeldung aktiviert ist und das Anmeldekennwort als Nur-Text gespeichert ist, gibt der Sicherheitsbericht dies als wichtige Schwachstelle an. Wenn die automatische Anmeldung aktiviert ist und das Anmeldekennwort in der Registrierung verschlüsselt ist, gibt der Sicherheitsbericht dies als potenzielle Schwachstelle an. Anmerkung: Wenn die Meldung "Fehler beim Lesen der Registrierung" angezeigt wird, ist möglicherweise der Remoteregistrierungsdienst nicht aktiviert. Die automatische Anmeldung speichert den Anmeldenamen und das Kennwort in der Registrierung, so dass Sie sich automatisch bei Microsoft Windows 2000 oder Windows NT anmelden können, ohne den Benutzernamen oder das Kennwort in der Benutzeroberfläche für die Anmeldung einzugeben. Die automatische Anmeldung kann jedoch auch anderen Benutzern den Zugriff auf die Dateien und das Verwenden Ihres Namens bei böswilligen Handlungen auf dem System ermöglichen (beispielsweise kann jeder, der physikalisch auf den Computer zugreifen kann, das Betriebssystem starten und sich automatisch anmelden). Wenn die automatische Anmeldung aktiviert ist und Sie dies nicht ändern möchten, stellen Sie sicher, dass Sie keine vertraulichen Informationen auf dem Computer speichern. 10 Sie können das für die automatische Anmeldung verwendete Kennwort als Nur-Text in der Registrierung speichern, oder Sie können es als LSA-Schlüssel (Local Security Authority) verschlüsseln. Automatische Updates Diese Überprüfung identifiziert, ob die Funktion Automatische Updates auf dem überprüften Computer aktiviert ist und wie sie gegebenenfalls konfiguriert ist. Automatische Updates können den Computer automatisch mit den neuesten Updates von Microsoft auf dem neuesten Stand halten, indem sie diese über die Windows Update-Website (oder über einen lokalen Software Update Services-Server) direkt auf dem Computer bereitstellen. Automatische Updates sind für Computer unter Windows® 2000 SP3 und höher verfügbar. Automatische Updates können so konfiguriert werden, dass sie automatisch auf einen Computer heruntergeladen und installiert werden. Alternativ können Sie die Updates zwar automatisch herunterladen lassen, den Benutzer aber vor der Installation benachrichtigt. Als dritte Variante können Sie den Benutzer sowohl vor dem Herunterladen als auch vor der Installation der Updates benachrichtigen. Test auf unnötige Dienste Diese Überprüfung ermittelt, ob in der Datei Services.txt enthaltene Dienste auf dem überprüften Computer installiert sind, und listet die Dateien mit ihrem aktuellen Status (aktiviert oder deaktiviert) auf. Die Datei Services.txt ist eine konfigurierbare Liste der Dienste, die auf den überprüften Computern überprüft werden sollen. Die Datei Services.txt wird standardmäßig mit dem Tool installiert und enthält die folgenden Dienste: MSFTPSVC (FTP) TlntSvr (Telnet) W3SVC (WWW) SMTPSVC (SMTP) In Microsoft Windows XP, Windows 2000 und Windows NT 4.0 ist ein Dienst ein Programm, das immer beim Ausführen des Betriebssystems auf dem Computer im Hintergrund ausgeführt wird. Dazu ist es nicht erforderlich, dass ein Benutzer angemeldet ist. Dienste werden benötigt, um benutzerunabhängige Aufgaben auszuführen, wie beispielsweise einen Faxdienst, der auf eingehende Faxe wartet. Domänencontroller Dieser Test prüft, ob der getestete Computer ein Domänencontroller ist. In einer Windows Server 2003-, Windows 2000- oder Windows NT-Domäne, ist ein Domänencontroller ein Server, der Authentifizierungen bei der Domänenanmeldung vornimmt. Er pflegt außerdem die Sicherheitsrichtlinien und die Masterdatenbank für die Sicherheitskonten der Domäne. Domänencontroller regeln den Benutzerzugriff auf das Netzwerk. Dies umfasst unter anderem Anmeldung, Authentifizierung und Zugriff auf Verzeichnisse und freigegebene Ressourcen. Domänencontroller speichern außerdem die Benutzerkonten der Domäne (unter anderem auch die Administratorkonten). Aus diesen Gründen sollten Domänencontroller als Schlüsselressourcen ausreichend berücksichtigt werden. Sie benötigen einen starken Schutz. Sie sollten sicherstellen, dass Sie angemessene Schritte zur Absicherung dieser Computer unternommen haben. Dateisystem Diese Überprüfung ermittelt das Dateisystem der jeweiligen Festplatte, um sicherzustellen, dass das NTFS-Dateisystem verwendet wird. NTFS ist ein sicheres Dateisystem, mit dem Sie den Zugriff auf einzelne Dateien oder Verzeichnisse steuern oder beschränken können. Wenn Sie beispielsweise möchten, dass Kollegen Ihre Dateien anzeigen, aber nicht ändern können, können Sie zu diesem 11 Zweck die von NTFS bereitgestellten Zugriffssteuerungslisten (Access Control Lists, ACLs) verwenden. Anmerkung: Damit diese Überprüfung erfolgreich verläuft, muss das Laufwerk mithilfe von administrativen Laufwerkfreigaben freigegeben sein. Gastkonto Dieser Test stellt fest, ob das Gastkonto auf dem geprüften Computer aktiviert ist. Beim Gastkonto handelt es sich um ein Systemkonto, das zur Anmeldung an Computer unter Windows Server 2003, Windows 2000 oder Windows NT verwendet wird, wenn ein Benutzer kein Konto auf dem Computer oder in der Domäne (oder einer Domäne, der die Computerdomäne vertraut) hat. Unter Windows XPSystemen mit einfacher Dateifreigabe wird (als Teil des Sicherheitsmodells) für alle Benutzerverbindungen über das Netzwerk das Gastkonto verwendet. Wenn das Gastkonto auf einem Windows NT, Windows 2000, Windows XP (ohne Verwendung der einfachen Dateifreigabe) oder Windows Server 2003 Computer aktiviert ist, wird dies im Sicherheitsbericht als Sicherheitsproblem markiert. Unter Windows XP-Computern mit aktivierter einfacher Dateifreigabe und aktiviertem Gastkonto wird kein Sicherheitsproblem angezeigt. Internetverbindungsfirewall Diese Überprüfung identifiziert, ob der Internetverbindungsfirewall (Internet Connection Firewall, ICF) auf dem überprüften Computer für alle aktivierten Netzwerkverbindungen aktiviert ist und ob statische eingehende Ports im Firewall geöffnet sind. Der Internetverbindungsfirewall ist eine Firewallsoftware, die Computer schützt, indem sie steuert, welche Informationen vom Computer zum und vom Internet oder zu und von anderen Computern in einem Netzwerk kommuniziert werden. Der Internetverbindungsfirewall ist in Windows XP und Windows Server 2003 Standard Edition und Enterprise Edition enthalten. Passwörter lokaler Konten Diese Überprüfung identifiziert leere oder einfache Kennwörter für die einzelnen lokalen Benutzerkonten auf dem Computer. Diese Überprüfung wird auf Domänencontrollern nicht ausgeführt. Für die Betriebssysteme Microsoft Windows Server 2003, Windows XP, Windows 2000 und Windows NT ist die Benutzerauthentifizierung durch Kennwörter erforderlich. Die Sicherheit eines Systems hängt sowohl von der Technologie wie der Policy ab. Benutzer können im Allgemeinen ihre eigenen Kennwörter auswählen. Die Sicherheit des jeweiligen Kontos hängt vom ausgewählten Kennwort ab. Diese Überprüfung listet alle Benutzerkonten auf und überprüft die Kennwörter auf folgende Bedingungen: Kennwort ist leer. Kennwort stimmt mit dem Namen des Benutzerkontos überein. Kennwort stimmt mit dem Namen des Computers überein. Kennwort verwendet das Wort "Kennwort". Kennwort verwendet das Wort "Admin" oder "Administrator". Diese Überprüfung benachrichtigt Sie außerdem über alle deaktivierten oder zurzeit gesperrten Konten. Bei Computern unter Windows XP, die die einfache Dateifreigabe verwenden (dazu gehören Computer unter Windows XP Home Edition und Windows XP Professional, die keiner Domäne angehören), kennzeichnet MBSA lokale Konten mit leeren Kennwörtern nicht. Um Benutzer zu schützen, die ihre Konten nicht durch Kennwörter schützen, können Windows XP Professional-Konten ohne Kennwörter nur zum Anmelden an der physischen Computerkonsole verwendet werden. Konten mit leeren Kennwörtern können standardmäßig nicht mehr für die Remoteanmeldung über das Netzwerk verwendet werden. 12 Anmerkungen: Der MBSA versucht anhand der einzelnen Bedingungen in der vorstehenden Liste, eine Kennwortänderungsanforderung zu veranlassen. MBSA wird das Password aber nicht ändern, sondern aufführen, dass das Kennwort einfach ist. Diese Prüfung kann sehr viel Zeit in Anspruch nehmen, abhängig von der Anzahl der Benutzer-Konten auf dem Rechner. Betriebssystem-Version Dieser Test ermittelt, welches Betriebssystem auf dem überprüften Computer ausgeführt wird. Microsoft Windows Server 2003, Windows XP und Windows 2000 ermöglichen eine bessere Zuverlässigkeit und Verfügbarkeit für alle geschäftlichen Vorgänge, wie beispielsweise die verbesserte Kontrolle über Dateiberechtigungen. Passwort-Ablauf Diese Überprüfung ermittelt, ob die Kennwörter lokaler Konten ablaufen. Jedes lokale Benutzerkonto mit einem nicht ablaufenden Kennwort wird im Überprüfungsbericht aufgelistet. Ausgenommen sind Benutzerkonten, die in der Datei NoExpireOk.txt im Installationsordner des MBSA angegeben sind. Einschränkungen für anonyme Benutzer Diese Überprüfung ermittelt, ob die Registrierungseinstellung RestrictAnonymous auf dem überprüften Computer zum Einschränken anonymer Verbindungen verwendet wird. Anonyme Benutzer können bestimmte Arten von Systeminformationen, wie beispielsweise Benutzernamen und -details, Kontorichtlinien und Freigabenamen, auflisten. Benutzer, die erweiterte Sicherheit wünschen, können diese Funktion einschränken, so dass anonyme Benutzer nicht auf diese Informationen zugreifen können. Freigaben Diese Überprüfung ermittelt, ob auf dem überprüften Computer freigegebene Ordner vorhanden sind. Der Überprüfungsbericht listet alle auf dem Computer gefundenen Freigaben, einschließlich der administrativen Freigaben, sowie ihre Berechtigungen auf Freigabe- und NTFS-Ebene auf. Sie sollten Freigaben, sofern Sie sie nicht benötigen, deaktivieren oder sie schützen, indem Sie den Zugriff auf bestimmte Benutzer beschränken durch Friegabe-Level und NTFS-Level Berechtigungen. IIS-Überprüfungen MSADC und virtuelle Scriptverzeichnisse Diese Überprüfung ermittelt, ob die virtuellen Verzeichnisse MSADC (Beispielskripte für den Datenzugriff) und Scripts auf einem überprüften Server mit IIS installiert sind. Diese Verzeichnisse enthalten normalerweise Skripts, die - wenn sie nicht erforderlich sind - entfernt werden sollten. So können Sie die Angriffsfläche des Computers verringern. Auch das Tool IIS-Lockdown entfernt solche unnötigen Features aus den IIS 4.0, 5.0, 5.1 und 6.0. Virtuelles Verzeichnis IISADMPWD Diese Überprüfung ermittelt, ob das Verzeichnis IISADMPWD auf dem überprüften Computer installiert ist. Mit Internet Information Server (IIS) 4.0 können Benutzer ihre Windows-Kennwörter ändern. Benutzer, deren Kennwörter demnächst ablaufen, werden benachrichtigt. Das virtuelle Verzeichnis IISADMPWD wird als Teil der Standardwebsite mit den IIS 4.0 installiert und enthält Dateien, die von dieser Funktion verwendet werden. Die Funktion wird über HTR-Dateien im Verzeichnis 13 <System>\System32\Inetsrv\iisadmpwd und eine ISAPI-Erweiterung mit dem Namen lsm.dll implementiert. IIS auf einem Domänencontroller Diese Überprüfung ermittelt, ob Internetinformationsdienste auf einem Domänencontroller ausgeführt werden. Dies wird im Überprüfungsbericht als schwerwiegende Schwachstelle gekennzeichnet, sofern der überprüfte Computer nicht Small Business Server ausführt. Wir empfehlen, einen IIS-Webserver nicht auf einem Domänencontroller auszuführen. Domänencontroller enthalten vertrauliche Daten (zum Beispiel Informationen zu Benutzerkonten). Wenn Sie einen Webserver auf einem Domänencontroller ausführen, wird der effektive Schutz des Domänencontrollers sehr viel schwieriger. IIS-Lockdown-Tool Diese Überprüfung ermittelt, ob Version 2.1 des IIS-Lockdown-Tools auf dem überprüften Computer ausgeführt wurde (IIS-Lockdown ist Teil des Microsoft Security Tool Kit). IIS-Lockdown deaktiviert nicht benötigte Funktionen der IIS und verringert so deren Angriffsfläche. Die Verwendung des Tools sollte einer der ersten Schritte sein, die Administratoren beim Schützen ihrer Webserver ausführen. Das IIS-Lockdown-Tool wurde für die IIS 4.0, 5.0 und 5.1 entwickelt und wird für neue Microsoft Windows Server 2003-Installationen mit IIS 6.0 nicht benötigt. Wenn eine Aktualisierung von IIS 5.0 auf IIS 6.0 ausgeführt wird, sollte das Lockdown-Tool jedoch auf jeden Fall ausgeführt werden um sicher zu gehen, dass nur benötigte Dienste auf dem Server ermöglicht werden. IIS-Protokollierung Diese Überprüfung ermittelt, ob die Protokollierung der Internetinformationsdienste aktiviert ist und ob das erweiterte Protokolldateiformat für W3C verwendet wird. Die IIS-Protokollierung hat einen größeren Umfang als die Windows-Ereignisprotokollierung oder -Leistungsüberwachung. Die Protokolle können beispielsweise Informationen dazu enthalten, wer die Website besucht hat, was der Besucher angezeigt hat und wann die Informationen zuletzt angezeigt wurden. Sie können erfolgreiche und erfolglose Zugriffsversuche auf Websites, virtuelle Ordner oder Dateien überwachen. Dazu gehören Ereignisse wie das Lesen der Datei oder das Schreiben in die Datei. Sie können auswählen, welche Ereignisse Sie für eine Website, einen virtuellen Ordner oder eine Datei überwachen möchten. Durch das regelmäßige Anzeigen dieser Dateien können Sie Bereiche des Servers oder der Websites ausfindig machen, die Angriffen oder anderen Sicherheitsproblemen ausgesetzt sind. Sie können die Protokollierung für einzelne Websites aktivieren und das Protokollformat auswählen. Wenn die Protokollierung aktiviert ist, gilt dies für alle Ordner der Website. Sie kann jedoch für bestimmte Verzeichnisse deaktiviert werden. Übergeordnete Pfade Diese Überprüfung ermittelt, ob die Einstellung AspEnableParentPaths auf dem überprüften Computer aktiviert ist. Durch das Aktivieren übergeordneter Pfade für die IIS können ASP-Seiten (Active Server Pages) relative Pfade zum übergeordneten Verzeichnis des aktuellen Verzeichnisses verwenden (hierbei handelt es sich um Pfade, die die Syntax ../ verwenden). IIS-Beispielanwendungen Diese Überprüfung ermittelt, ob die folgenden Beispielverzeichnisse der IIS auf dem überprüften Computer installiert sind: 14 \Inetpub\iissamples \Winnt\help\iishelp \Programme\Gemeinsame Dateien\System\msadc Die Beispielanwendungen, die typischerweise mit den IIS zusammen installiert werden, sollen die Verwendung von dynamischem HTML (DHTML) und Active Server Pages (ASP) verdeutlichen und eine Online-Dokumentation zur Verfügung stellen. SQL-Überprüfungen Der MBSA V1.2 überprüft alle Instanzen von SQL Server und MSDE, die auf den überprüften Computer ausgeführt werden. Mitglieder der Rolle Sysadmin Diese Überprüfung ermittelt die Anzahl der Mitglieder der Sysadmin-Rolle und zeigt die Ergebnisse im Sicherheitsbericht an. Microsoft SQL Server-Rollen werden verwendet, um Anmeldungen zu gruppieren, die über dieselben Rechte zum Ausführen von Vorgängen verfügen. Die feste Serverrolle Sysadmin gibt allen Mitgliedern Systemadministratorrechte. Anmerkung: Wenn die Fehlermeldung "Keine Berechtigungen für den Zugriff auf Datenbank" angezeigt wird, verfügen Sie möglicherweise nicht über Berechtigungen für die Masterdatenbank. CmdExec-Rechte auf Sysadmin einschränken Diese Überprüfung stellt sicher, dass CmdExec-Rechte nur auf Sysadmin beschränkt sind. Alle anderen Konten mit CmdExec-Rechten werden im Sicherheitsbericht aufgelistet. Microsoft SQL Server-Agent ist ein in Microsoft Windows XP, Windows 2000 und Windows NT verfügbarer Dienst, der Aufträge ausführt, SQL Server überwacht und Warnungen sendet. Mit SQL Server-Agent können Sie bestimmte administrative Aufgaben automatisieren, indem Sie Skripts für einzelne Auftragsschritte verwenden. Ein Auftrag ist eine angegebene Serie von Vorgängen, die nacheinander von SQL Server-Agent ausgeführt werden. Ein Auftrag kann eine Vielzahl von Aktivitäten ausführen, beispielsweise das Ausführen von Transact-SQL-Skripten, Befehlszeilenanwendungen und ActiveX-Skripten. Aufträge können erstellt werden, um häufig wiederholte oder geplante Aufgaben auszuführen, und können Benutzer durch das Generieren von Warnungen automatisch über den Auftragsstatus benachrichtigen. SQL Server – Passwörter lokaler Konten Diese Überprüfung identifiziert leere oder einfache Kennwörter für die einzelnen lokalen SQL ServerKonten. Sie listet alle Benutzerkonten auf und überprüft die Kennwörter auf folgende Bedingungen: Kennwort ist leer. Kennwort stimmt mit dem Namen des Benutzerkontos überein. Kennwort stimmt mit dem Namen des Computers überein. Kennwort verwendet das Wort "Kennwort". Kennwort verwendet das Wort "sa". Kennwort verwendet das Wort "Admin" oder "Administrator". Diese Überprüfung benachrichtigt Sie außerdem über alle deaktivierten oder zurzeit gesperrten Konten. 15 SQL Server - Authentifizierungsmodus Diese Überprüfung ermittelt den Authentifizierungsmodus, der auf dem überprüften Computer mit Microsoft® SQL Server™ verwendet wird. SQL Server stellt zwei Modi für das Schützen des Zugriffs auf den Server bereit: den WindowsAuthentifizierungsmodus und den gemischten Modus. Im Windows-Authentifizierungsmodus verwendet SQL Server ausschließlich die WindowsAuthentifizierung des Benutzers. Windows-Benutzern oder -Gruppen wird dann Zugriff auf den Computer mit SQL Server erteilt. Im gemischten Modus können Benutzer durch Windows oder durch SQL Server authentifiziert werden. Die Namen und Kennwörter werden im zweiten Fall durch SQL Server verwaltet. Microsoft empfiehlt den Windows-Authentifizierungsmodus zu wählen. Windows-Authentifizierungsmodus In diesem Sicherheitsmodus kann SQL Server Benutzer mithilfe von Windows genau wie andere Anwendungen authentifizieren. Mit dem Server hergestellte Verbindungen, die diesen Modus verwenden, werden als vertrauenswürdige Verbindungen bezeichnet. Wenn Sie den Windows-Authentifizierungsmodus verwenden, ermöglicht der Datenbankadministrator Benutzern den Zugriff auf den Computer mit SQL Server, indem er ihnen das Recht erteilt, sich bei SQL Server anzumelden. Windows-Sicherheitskennungen (Security Identifiers, SIDs) werden verwendet, um durch Windows authentifizierte Benutzer nach zu verfolgen. Da Windows-SIDs verwendet werden, kann der Datenbankadministrator den Zugriff direkt für Windows-Benutzer oder -Gruppen erteilen. Gemischter Modus In SQL Server verwendet der gemischte Modus Windows zum Authentifizieren von Benutzern, wenn der Client und der Server die Anmeldeauthentifizierungsprotokolle NTLM oder Kerberos verwenden können. Wenn eine der Parteien die Standard-Windows-Anmeldung nicht verwenden kann, fordert SQL Server Benutzername und Kennwort an. Diese werden dann mit den in den SQL ServerSystemtabellen gespeicherten Informationen verglichen. Der gemischte Modus wird aus zwei Gründen bereitgestellt: Abwärtskompatibilität mit älteren Versionen von SQL Server Kompatibilität bei Installation von SQL Server unter den Betriebssystemen Windows 95 und Windows 98 (die oben beschriebenen vertrauenswürdige Verbindungen werden von Windows 95 oder Windows 98 basierenden Computern nicht unterstützt, wenn diese als Server dienen). SQL Server - Mitgliedschaft des Administators in der Sysadmin-Rolle Diese Überprüfung ermittelt, ob die vordefinierte Gruppe Administratoren als Mitglied der SysadminRolle in Microsoft SQL Server aufgelistet ist. Anmerkung: Wenn die Fehlermeldung "Keine Berechtigungen für den Zugriff auf Datenbank" angezeigt wird, verfügen Sie möglicherweise nicht über Berechtigungen für die Masterdatenbank. Eine SQL Server-Rolle ist ein Sicherheitskonto, das eine Sammlung anderer Sicherheitskonten darstellt. Es kann beim Verwalten von Berechtigungen als einzelne Einheit behandelt werden. Eine Rolle kann SQL Server-Anmeldeberechtigungen, andere Rollen und Windows-Benutzerkonten oder -Gruppen enthalten. Feste Serverrollen gelten serverweit. Sie existieren außerhalb der Datenbanken. Jedes Mitglied einer festen Serverrolle kann andere Anmeldungen zur selben Rolle hinzufügen. Alle Mitglieder der Standardgruppe Administratoren sind auch standardmäßig Mitglieder der Sysadmin-Rolle. Diese gewährt ihnen vollen Zugriff auf alle Datenbanken. 16 SQL Server-Verzeichniszugriff Diese Überprüfung verifiziert, ob die folgenden Microsoft SQL Server-Verzeichnisse über beschränkten Zugriff auf SQL Server-Dienstkonten und lokale Administratorengruppe verfügen: Programme\Microsoft SQL Server\MSSQL$InstanceName\Binn Programme\Microsoft SQL Server\MSSQL$InstanceName\Data Programme\Microsoft SQL Server\MSSQL\Binn Programme\Microsoft SQL Server\MSSQL\Data Der MBSA überprüft die ACL für jeden dieser Ordner und listet die in ihr enthaltenen Benutzer auf. Wenn andere Benutzer (außer den SQL Server-Dienstkonten und Administratoren) über Lese- und Änderungszugriff für diese Ordner verfügen, kennzeichnet das Tool diese Überprüfung im Sicherheitsbericht als Schwachstelle. Ungeschütztes SA-Kennwort Diese Überprüfung ermittelt, ob Kennwörter für Systemadministratorkonten in Microsoft SQL Server 7.0 Service Pack 1 (SP1), SQL Server 7.0 SP2 oder SQL Server 7.0 SP3 als Nur-Text in die Dateien Setup.iss, Sqlstp.log oder SqlspX.log in den Verzeichnissen %windir% und %windir%\%temp% geschrieben werden. Wenn unter SQL Server 2000 zum Starten von SQL ServerDiensten Domänenanmeldeinformationen verwendet werden, wird die Datei Splstp.log oder SqlspX.log ebenfalls überprüft. Wenn beim Einrichten von SQL Server der gemischte Authentifizierungsmodus verwendet wird, wird das Systemadministratorkennwort bei SQL Server 7.0 SP1, SQL Server 7.0 SP2 und SQL Server 7.0 SP3 im Nur-Text-Format in den Dateien Setup.iss und Sqlstp.log gespeichert. Die Anmeldeinformationen von Administratoren, die den Windows-Authentifizierungsmodus verwenden (den empfohlenen Modus), wären nur gefährdet, wenn sie Domänenanmeldeinformationen angeben, die beim automatischen Starten der SQL Server-Dienste verwendet werden sollen. SQL Server-Gastkonto Diese Überprüfung ermittelt, ob das Microsoft SQL Server-Gastkonto auf die Datenbanken (mit Ausnahme von master, tempdb und msdb) zugreifen kann. Alle Datenbanken, auf die das Konto zugreifen kann, werden im Sicherheitsbericht aufgelistet. Anmerkung: Wenn die Fehlermeldung "Keine Berechtigungen für den Zugriff auf Datenbank" angezeigt wird, verfügen Sie möglicherweise nicht über Berechtigungen für die Masterdatenbank. Um auf eine Datenbank und ihre Objekte zuzugreifen, muss ein Benutzerkonto über einen der folgenden Wege autorisiert sein: Das Anmeldekonto kann als Datenbankbenutzer angegeben sein. Das Anmeldekonto kann ein Gastkonto in der Datenbank verwenden. Eine Windows-Gruppenanmeldung kann einer Datenbankrolle zugeordnet werden. Einzelne Windows-Konten, die Mitglieder dieser Gruppe sind, können dann eine Verbindung mit der Datenbank herstellen. Mitglieder der Datenbankrollen db_owner oder db_accessadmin oder der festen Serverrolle Sysadmin erstellen die Datenbank-Benutzerrollen. Ein Konto kann mehrere Parameter enthalten: die SQL Server-Anmeldekennung, den Datenbank-Benutzernamen (optional) und maximal einen Rollennamen (optional). Der Datenbank-Benutzername muss nicht mit der Anmeldekennung des Benutzers übereinstimmen. Wenn kein Datenbank-Benutzername angegeben ist, sind die Anmeldekennung des Benutzers und sein Datenbank-Benutzername identisch. Nach dem Erstellen des Datenbankbenutzers kann der Benutzer zu so vielen Rollen wie nötig zugewiesen werden. Wenn kein Rollenname angegeben ist, ist der Datenbankbenutzer nur Mitglied der öffentlichen Rolle. 17 Mitglieder der Rollen db_owner, db_accessadmin oder Sysadmin können ebenfalls ein Gastkonto erstellen. Das Gastkonto erlaubt jedem gültigen SQL Server-Anmeldekonto den Zugriff auf eine Datenbank, auch ohne Datenbank-Benutzerkonto. Das Gastkonto erbt standardmäßig alle der öffentlichen Rolle zugewiesenen Berechtigungen. Diese Berechtigungen können jedoch in höhere oder niedrigere Berechtigungen als die der öffentlichen Rolle geändert werden. SQL Server auf einem Domänencontroller Diese Überprüfung ermittelt, ob Microsoft SQL Server auf einem Domänencontroller ausgeführt wird. Wir empfehlen, SQL Server nicht auf einem Domänencontroller auszuführen. Domänencontroller enthalten vertrauliche Daten (zum Beispiel Informationen zu Benutzerkonten). Sie sollten keine weiteren Funktionen ausführen. Wenn Sie eine SQL Server-Datenbank auf einem Domänencontroller bereitstellen, wird es deutlich schwerer, den Server vor Angriffen zu schützen. SQL Server-Registrierungssicherheit Diese Überprüfung stellt sicher, dass die Gruppe Jeder für die folgenden Registrierungsschlüssel auf die Leseberechtigung beschränkt ist: HKLM\Software\Microsoft\Microsoft SQL Server HKLM\Software\Microsoft\MSSQLServer Wenn die Gruppe Jeder über mehr als die Leseberechtigung für diese Schlüssel verfügt, wird dies im Sicherheitsüberprüfungsbericht als wichtige Schwachstelle gekennzeichnet. SQL Server-Dienstkonten Diese Überprüfung ermittelt, ob die Microsoft SQL Server-Dienstkonten Mitglieder der lokalen Gruppen Administratoren oder Domänen-Admins auf dem überprüften Computer sind oder ob SQL Server-Dienstkonten im Kontext LocalSystem ausgeführt werden. Die Dienstkonten MSSQLServer und SQLServerAgent werden auf dem überprüften Computer überprüft. Anmerkung: Wenn die Fehlermeldung "Keine Berechtigungen für den Zugriff auf Datenbank" angezeigt wird, verfügen Sie möglicherweise nicht über Berechtigungen für die Masterdatenbank. Überprüfungen von Sicherheitsupdates Der (MBSA) überprüft, ob die neuesten Service Packs und Sicherheitsupdates für die folgenden Produkte und Komponenten vorhanden sind: Service Packs sind getestete Sammlungen von Updates, die sich auf eine Vielzahl von durch Kunden gemeldeten Problemen mit einem Microsoft-Produkt konzentrieren. Service Packs stellen Korrekturen für Probleme bereit, die gemeldet wurden, nachdem das Produkt allgemein zur Verfügung gestellt wurde. Sie verhalten sich kumulativ, das heißt, jedes neue Service Pack enthält alle Korrekturen aus den vorherigen Service Packs sowie alle neuen Korrekturen. Sie sollen die Plattformkompatibilität mit neu veröffentlichter Software und neu veröffentlichten Treibern sicherstellen und enthalten Updates, die von Kunden oder durch interne Tests festgestellte Probleme beheben. Sicherheitsupdates hingegen sind Zwischenupdates, die normalerweise einen bestimmten Fehler oder eine bestimmte Sicherheitsschwachstelle beheben. Alle während der Lebensdauer eines Service Packs angebotenen Sicherheitsupdates werden zusammen in das nächste Service Pack aufgenommen. Jedes vom MBSA identifizierte Sicherheitsupdate ist mit einem Microsoft Security Bulletin verbunden, das weitere Informationen zu diesem Update enthält. Die Ergebnisse dieser Überprüfung identifizieren fehlende Sicherheitsupdates und enthalten einen Link zur MicrosoftWebsite, auf der die Details der einzelnen Security Bulletins angezeigt werden können. 18 Der MBSA testet die folgenden Produkte und Komponenten auf fehlende Service Packs und Sicherheitsupdates: Windows NT 4.0 (ohne mbsacli.exe /hf sind nur Remoteüberprüfungen möglich) Windows 2000 Windows XP Windows Server 2003 Internet Explorer 5.01 und höher (inklusive Internet Explorer 6.0 für Windows Server 2003) Windows Media Player 6.4 und höher IIS 4.0, 5.0, 5.1 und 6.0 SQL Server 7.0 und 2000 (inklusive Microsoft Data Engine) Exchange Server 5.5, 2000 und 2003 (inklusive Exchange-Verwaltungstools) Microsoft Office (nur lokale Überprüfungen; beachten Sie bitte die Liste der unterstützen Office-Produkte) Microsoft Data Access Components (MDAC) 2.5, 2.6, 2.7 und 2.8 Microsoft Virtual Machine MSXML 2.5, 2.6, 3.0 und 4.0 BizTalk Server 2000, 2002 und 2004 Commerce Server 2000 und 2002 Content Management Server (CMS) 2001 und 2002 SNA Server 4.0, Host Integration Server (HIS) 2000 und 2004 Überprüfung von Anwendungen Internet Explorer-Sicherheitszonen Diese Überprüfung listet die aktuellen und empfohlenen Sicherheitseinstellungen für die Microsoft Internet Explorer-Zonen für die einzelnen lokalen Benutzer auf dem überprüften Computer auf. Die Internet Explorer-Zonen teilen das Internet oder Intranet in Zonen mit verschiedenen Sicherheitsstufen ein. Auf diese Weise können Sie globale Standardeinstellungen für den Browser festlegen, um alle Inhalte auf vertrauenswürdigen Sites zuzulassen oder bestimmte Arten von Inhalt, beispielsweise Java-Applets oder ActiveX-Steuerelemente, abhängig von der Ursprungswebsite, nicht zuzulassen. Der Internet Explorer stellt vier vordefinierte Webinhaltszonen zu Verfügung: Internet, Lokales Intranet, Vertrauenswürdige Sites und Eingeschränkte Sites. Im Dialogfeld Internetoptionen können Sie die für die einzelnen Zonen gewünschten Sicherheitsoptionen festlegen und dann Sites, abhängig von Ihrem Vertrauen in die Site, zu Zonen (mit Ausnahme von Internet) hinzufügen oder aus ihnen entfernen. In Unternehmensumgebungen können Administratoren Zonen für Benutzer einrichten. Sie können außerdem die Authentifizierungszertifikate von Softwareherstellern, denen sie vertrauen oder nicht vertrauen, hinzufügen oder entfernen. So müssen Benutzer beim Verwenden des Internets keine Sicherheitsentscheidungen treffen. Sie können für die einzelnen Sicherheitszonen zwischen den Sicherheitseinstellungen Hoch, Mittel, Niedrig, Sehr niedrig oder Benutzerdefiniert wählen. Für Sites in Zonen mit ungewisser Vertrauenswürdigkeit wird die Einstellung Hoch empfohlen. Die Option Benutzerdefiniert ermöglicht fortgeschrittenen Benutzern und Administratoren mehr Kontrolle über die folgenden Sicherheitsoptionen: 19 Zugriff auf Dateien, ActiveX-Steuerelementen und Skripten Zulässiger Funktionsumfang für Java-Applets Angabe der Site-Identität mit SSL-Authentifizierung (Secure Sockets Layer) Kennwortschutz mit NTLM-Authentifizierung (Abhängig von der Zone, in der sich ein Server befindet, kann Internet Explorer Kennwortinformationen automatisch senden, den Benutzer zur Eingabe von Benutzer- und Kennwortinformationen auffordern oder alle Anmeldeanforderungen verweigern.) Verstärkte Sicherheitskonfiguration für Administratoren Diese Überprüfung identifiziert, ob die verstärkte Sicherheitskonfiguration für Internet Explorer für Administratoren auf Computern unter Windows Server 2003 aktiviert ist. Wenn die verstärkte Sicherheitskonfiguration für Internet Explorer für Administratoren installiert ist, identifiziert diese Überprüfung außerdem Administratoren, die die verstärkte Sicherheitskonfiguration für Internet Explorer deaktiviert haben. Verstärkte Sicherheitskonfiguration für Nicht-Administratoren Diese Überprüfung identifiziert, ob die verstärkte Sicherheitskonfiguration für Internet Explorer für Benutzer, bei denen es sich nicht um Administratoren handelt, auf Computern unter Windows Server 2003 aktiviert ist. Wenn die verstärkte Sicherheitskonfiguration für Internet Explorer für NichtAdministratoren installiert ist, identifiziert diese Überprüfung außerdem Nicht-Administratoren, die die verstärkte Sicherheitskonfiguration für Internet Explorer deaktiviert haben. Office-Makroschutz Diese Überprüfung ermittelt die Sicherheitsstufe des Makroschutzes für Office System 2003, Office XP, Office 2000 und Office 97 der einzelnen Benutzer. Folgende Office-Produkte werden überprüft: PowerPoint®, Word, Excel und Outlook®. Makros automatisieren sich wiederholende Aufgaben. Sie können Zeit sparen – wenn ein Benutzer ein infiziertes Dokument öffnet, das ein schädliches Makro enthält, können sie jedoch auch zum Übertragen von Viren verwendet werden. Durch das Öffnen oder Weitergeben eines infizierten Dokuments kann sich das Makro auf andere Dokumente auf dem System oder auf andere Benutzer verbreiten. Zusätzliche Informationen Microsoft-Sicherheitsstrategien und -lösungen Microsoft Security Website http://www.microsoft.com/germany/ms/security/default.mspx MBSA Website http://www.microsoft.com/technet/security/tools/mbsahome.asp (englischsprachig). Einstufungen des Schweregrades von Security Bulletins http://www.microsoft.com/germany/ms/security/wissenswertes.mspx. Partnerunterstützung für Microsoft-Sicherheitslösungen Verzeichnis der zertifizierten Anbieter http://directory.microsoft.com/resourcedirectory/Solutions.aspx. Microsoft Consulting Services http://www.microsoft.com/germany/ms/services/grosskunden/cs.asp 20