In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Features des MBSA V1.2

Werbung 
Whitepaper: Microsoft Baseline Security Analyzer V1.2
Microsoft Corporation
Veröffentlich im Januar 2004
1
© 2004 Microsoft Corporation. Alle Rechte vorbehalten.
Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft Corporation
zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Marktanforderungen reagieren muss, stellt dies keine
Verpflichtung seitens Microsoft dar, und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt
der Veröffentlichung nicht garantieren.
Dieses Dokument dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIESES DOKUMENT JEDE
GEWÄHRLEISTUNG AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT.
Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der
Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der
Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem
gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch,
mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem
geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments
gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei
denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.
Microsoft, ActiveX, Windows, the Windows logo und Windows NT sind entweder eingetragene Marken oder Marken der
Microsoft Corporation in den USA und/oder anderen Ländern.
Weitere in diesem Dokument aufgeführte Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen Inhaber sein.
2
Inhaltsverzeichnis
Inhaltsverzeichnis .................................................................................................................................................... 3
Zusammenfassung .................................................................................................................................................. 4
Neue Features des MBSA V1.2 ............................................................................................................................... 4
Unterstützung für zusätzliche Sprachen .............................................................................................................. 4
Unterstützung für zusätzliche Produkte ............................................................................................................... 4
Unterstützung für alternativen Dateiversionen ..................................................................................................... 5
Abrufen von neuen Versionen ............................................................................................................................. 5
Zusätzliche Windows-Sicherheitsprüfungen ........................................................................................................ 5
Benutzerdefinierte Einstellungen für die Internet Explorer-Zonen ....................................................................... 5
Neue Kommandozeilenschalter ........................................................................................................................... 5
Features des MBSA V1.2 ........................................................................................................................................ 6
Prüfung der Systemkonfiguration ........................................................................................................................ 6
Sicherheitsupdates .............................................................................................................................................. 6
Unterstützung von Software Update Services (SUS) 1.0..................................................................................... 8
Systems Management Server-Unterstützung ...................................................................................................... 8
Überprüfungsmodi ................................................................................................................................................... 8
Auswahl zu prüfenden Computer ........................................................................................................................ 8
Überprüfungsarten ............................................................................................................................................... 9
Überprüfungsberichte anzeigen ........................................................................................................................... 9
Netzwerküberprüfungen ...................................................................................................................................... 9
Prüfen von lokalisierten Betriebssystemversionen .............................................................................................. 9
Beschreibung der Sicherheitsüberprüfungen......................................................................................................... 10
Windows-Überprüfungen ................................................................................................................................... 10
IIS-Überprüfungen ............................................................................................................................................. 13
SQL-Überprüfungen .......................................................................................................................................... 15
Überprüfungen von Sicherheitsupdates............................................................................................................. 18
Überprüfung von Anwendungen ........................................................................................................................ 19
Zusätzliche Informationen...................................................................................................................................... 20
Microsoft-Sicherheitsstrategien und -lösungen .................................................................................................. 20
Partnerunterstützung für Microsoft-Sicherheitslösungen ................................................................................... 20
3
Zusammenfassung
Der Microsoft® Baseline Security Analyzer (MBSA) ist ein Werkzeug, das es Benutzern ermöglicht,
einen oder mehrere Windows-basierte Computer auf häufig auftretende Fehlkonfigurationen zu
prüfen. Er prüft nicht nur das Betriebssystem, sondern auch andere Komponenten (zum Beispiel die
Internetinformationsdienste und SQL Server) und stellt Fehlkonfigurationen fest, und gleicht ab, ob
alle empfohlenen Sicherheitsupdates installiert wurden.
Neue Features des MBSA V1.2
Der MBSA ist ein Werkzeug zur Sicherheitsbeurteilung von Windows NT4-, Windows 2000-, Windows
XP- und Windows Server 2003-Systemen. Er untersucht Betriebssysteme, IIS, SQL und Desktop
Anwendungen auf Fehlkonfigurationen und kann nach fehlenden Sicherheitsupdates für Windows,
Internet Explorer, Windows Media Player, IIS, SQL Server, Exchange, Microsoft Office, Microsoft Data
Access Components, Microsoft Virtual Machine, MSXML, BizTalk Server, Commerce Server, Content
Management Server und Host Integration Server suchen. Die Version 1.2 des MBSA wurde im Januar
2004 veröffentlicht und enthält gegenüber der Version 1.1.1 die folgenden neuen Features und
Aktualisierungen.
Download-Seiten
deutsch: http://download.microsoft.com/download/4/3/6/4367ed02-f546-46e0-b51bf4b8a7a23a03/MBSASetup-de.msi
englisch: http://download.microsoft.com/download/d/7/5/d757ff81-4f97-4a6d-a9d8edea72363aa8/MBSASetup-en.msi
Unterstützung für zusätzliche Sprachen
Der MBSA V1.2 steht nun für die englische, deutsche, französische und japanische Windows-Version
zur Verfügung. Die jeweiligen Versionen laden die mssecure.xml Datei, die SicherheitsupdateInformationen für die ausgewählte Sprache enthalten, automatisch, sobald Änderungen vorliegen.
Wenn die XML-Datei in der passenden Sprache nicht zur Verfügung steht, wird automatisch die
englische XML-Datei verwendet (mit ausgeschalteten Prüfsummen, wenn eine nicht auf die englische
Sprache eingestellt Maschine untersucht wird).
Unterstützung für zusätzliche Produkte
MBSA V1.2 prüft nun auch die folgenden Produkte auf Sicherheitsupdates:

Exchange Server 2003

Microsoft Office (nur lokale Überprüfungen; beachten Sie die entsprechende Produktliste)

Microsoft Data Access Components (MDAC) 2.5, 2.6, 2.7 und 2.8

Microsoft Virtual Machine

MSXML 2.5, 2.6, 3.0 und 4.0

BizTalk Server 2000, 2002 und 2004

Commerce Server 2000 und 2002

Content Management Server (CMS) 2001 und 2002

SNA Server 4.0, Host Integration Server (HIS) 2000 und 2004
4
Anmerkung: Die Unterstützung für Microsoft Office wurde über die Integration des Office
Update Inventory Tools implementiert.
Unterstützung für alternative Dateiversionen
Der MBSA V1.2 unterstützt nun unterschiedliche Dateiversionen. Gründe für unterschiedliche
Dateiversionen oder Prüfsummen sind zum Beispiel:

QFE (Quick Fix Engineering)/LDR (Limited Distributed Release) im Gegensatz zu GDR
(General Distributed Release) Sicherheitsupdates

Veröffentlichung von Sicherheitsupdates für Einzelprozessor- und Mehrfachprozessorsysteme

Updates ohne Security Bulletin und Updates mit Security Bulletin

Überarbeitete (aktualisierte) Security Bulletins
In den vorherigen Versionen des MBSA wurden solche Updates mit einem gelben X gekennzeichnet.
Zusätzlich wurde eine Warnung ausgegeben: „File version greater than expected". Im MBSA V1.2 mit
dem Alternate File Version Support, können solche Warnungen unterdrückt werden und die
aufgeführten Fälle untersucht werden, ob einige der in mssecure.xml gelisteten Dateien mit denen auf
der Maschine gefundenen übereinstimmen.
Abrufen von neuen Versionen
Der MBSA V1.2 kann automatisch nach neuen MBSA-Versionen suchen. Wenn eine solche Version
zur Verfügung steht, wird der Benutzer benachrichtigt – und zwar sowohl bei der grafischen Version
als auch bei der Kommandozeilen-Version des MBSA.
Zusätzliche Windows-Sicherheitsprüfungen
Der MBSA V1.2 überprüft die Einstellungen des Automatisches Update-Features und der
Internetverbindungsfirewall (Internet Connection Firewall, ICF). Der MBSA zeigt an, ob Automatisches
Update aktiviert ist, ob das Feature für einen automatischen Download und für eine automatische
Installation konfiguriert ist und ob es über eine Gruppenrichtlinie aktiviert und konfiguriert wurde. Der
MBSA zeigt für jede Netzwerkverbindung des Computers an, ob die ICF aktiviert wurde und ob Ports
für einen externen Zugriff geöffnet sind.
Benutzerdefinierte Einstellungen für die Internet Explorer-Zonen
Der MBSA 1.2 verarbeitet nun auch benutzerdefinierte IE-Zoneneinstellungen und vergleicht diese mit
den empfohlenen Zoneneinstellungen. Der Bericht zeigt alle Zoneneinstellungen an, die niedriger als
die empfohlenen Standardeinstellungen sind.
Neue Kommandozeilenschalter
Der MBSA 1.2 stellt die folgenden neuen Schalter zur Verfügung. Sie können Sie mit mbsacli.exe oder
mbsacli.exe /hf verwenden:

-unicode (erstellt eine Unicode-Ausgabe für die Benutzer, die die japanische Version des
MBSA verwenden oder japanische Windows-Computer überprüfen)

-nvc (verhindert, dass der MBSA nach einer neueren MBSA-Version sucht)
5
Features des MBSA V1.2
Der MBSA V1.2 kann Computer unter Windows NT 4, Windows 2000, Windows XP Professional,
Windows XP Home Edition und Windows Server 2003 prüfen. MBSA kann von jedem Computer unter
Windows 2000 Professional, Windows 2000 Server, Windows XP Home, Windows XP Professional
oder Windows Server 2003 ausgeführt werden.
Prüfung der Systemkonfiguration
Windows-Betriebssystem
Der MSBA sucht im Betriebssystem (Windows NT 4, Windows 2000, Windows XP, Windows Server
2003) nach allgemeinen Sicherheitsproblemen, wie zum Beispiel dem Status des Gastkontos,
Dateisystemtyp, verfügbaren Dateifreigaben, Mitgliedern der lokalen Administratoren-Gruppe usw. Die
Ergebnisse der Betriebssystemüberprüfung werden - zusammen mit Anweisungen zur Behebung aller
gefundenen Sicherheitsprobleme - im Überprüfungsbericht angezeigt.
Internet Information Server
Diese Gruppe von Tests sucht nach Sicherheitsproblemen im Zusammenhang mit IIS 4.0, 5.0 und 6.0
– dieses können zum Beispiel bestimmten virtuellen Verzeichnissen und Beispielanwendungen sein.
Der MBSA prüft außerdem, ob das Tool IIS-Lockdown auf dem Computer ausgeführt wurde. IISLockdown kann dem Administrator bei der Konfiguration und Absicherung der IIS-Server helfen. Die
Ergebnisse der IIS-Überprüfung werden, zusammen mit Anweisungen zur Behebung aller gefundenen
Sicherheitsprobleme, im Sicherheitsbericht angezeigt.
Microsoft SQL Server
Diese Gruppe von Tests prüft SQL Server 7.0 und SQL Server 2000 auf Sicherheitsprobleme, wie
zum Beispiel den Authentifizierungsmodus, den Passwortstatus des SA-Kontos und die
Gruppenmitgliedschaften des SQL-Dienstkontos. Die Ergebnisse der SQL-Überprüfung werden zusammen mit Anweisungen zur Behebung aller gefundenen Sicherheitsprobleme - im
Sicherheitsbericht angezeigt.
Desktop-Anwendungen
Diese Gruppe von Tests prüft die Zoneneinstellungen von Internet Explorer 5.01 und höher und die
Makroeinstellungen von Office 2000, Office XP und Office System 2003 für jedes lokale
Benutzerkonto.
Sicherheitsupdates
Der MBSA kann über die XML-Datei (mssecure.xml) feststellen, welche kritischen Sicherheitsupdates
für ein System anstehen. Diese XML-Datei wird von Microsoft kontinuierlich gepflegt und erweitert. Sie
enthält Informationen darüber, welche Sicherheitsupdates für die einzelnen Microsoft-Produkte
verfügbar sind. Bei diesen Informationen handelt es sich um die Namen der entsprechenden Security
Bulletins, deren Titel, detaillierte Daten über produktspezifische Sicherheitsupdates, die im Paket
enthaltenen Dateien und ihrer Versionsnummern und Prüfsummen, Registrierungsschlüssel, die durch
das Paket aktualisiert werden, Informationen über Updates, die von diesem ersetzt werden, die
betreffenden Artikelnummern der Microsoft Knowledge Base und vieles andere.
Wenn Sie den MSBA das erste Mal starten, benötigt er eine Kopie der XML-Datei, um festzustellen,
welche Sicherheitsupdates für die Produkte zur Verfügung stehen.
6
Anmerkung: Jedes Mal, wenn der MBSA ausgeführt wird, versucht er auf das Internet
zuzugreifen und die CAB-Datei von Microsoft herunterzuladen. Wenn keine
Internetverbindung zur Verfügung steht, prüft das Tool, ob eine lokale Kopie der CAB/XMLDatei im MBSA-Installationsordner vorhanden ist. Jedes Mal, wenn die Datei erfolgreich
heruntergeladen wurde, wird diese lokal gespeichert. Wenn ein Computer nicht mit dem
Internet verbunden ist, kann der Benutzer die Datei separat im Microsoft Download Center
herunterladen und sie manuell auf den Computer kopieren.
Die XML-Datei steht im Microsoft Download Center in komprimierter Form zur Verfügung (eine digital
signierte CAB-Datei). Der MBSA lädt diese CAB-Datei herunter, überprüft die Signatur und
dekomprimiert sie dann auf dem Computer, auf dem er ausgeführt wird. Eine CAB-Datei ist eine
komprimierte Datei und entspricht einer ZIP-Datei.
Nachdem die CAB-Datei dekomprimiert wurde, überprüft der MBSA Ihren Computer (oder die
ausgewählten Computer), um festzustellen, welches Betriebssystem ausgeführt wird und welche
Programme und Servicepacks installiert sind. Dann bestimmt der MBSA mit Hilfe der XML-Datei,
welche Sicherheitsupdates für die von Ihnen installierte Software verfügbar sind. Um festzustellen, ob
ein Sicherheitsupdate auf einem Computer installiert ist, überprüft der MBSA drei Punkte: Den
Registrierungsschlüssel, der durch das Update hinzugefügt wird, die Dateiversion(en) und die
Prüfsummen aller Dateien, die durch das Update installiert wurden. Wenn einer dieser Tests
fehlschlägt, wird das Update im Überprüfungsbericht als fehlend angezeigt.
Der MSBA sucht nicht nur nach Sicherheitsupdates für Windows, sondern auch nach Updates für
andere Produkte. Die folgenden Produkte werden auf verfügbare Updates überprüft:

Windows NT 4.0 (ohne mbsacli.exe /hf sind nur Remoteüberprüfungen möglich)

Windows 2000

Windows XP

Windows Server 2003

Internet Explorer 5.01 und höher (inklusive Internet Explorer 6.0 für Windows Server 2003)

Windows Media Player 6.4 und höher

IIS 4.0, 5.0, 5.1 und 6.0

SQL Server 7.0 und 2000 (inklusive Microsoft Data Engine)

Exchange Server 5.5, 2000 und 2003 (inklusive Exchange-Verwaltungstools)

Microsoft Office (nur lokale Überprüfungen; beachten Sie bitte die Liste der unterstützen
Office-Produkte)

Microsoft Data Access Components (MDAC) 2.5, 2.6, 2.7 und 2.8

Microsoft Virtual Machine

MSXML 2.5, 2.6, 3.0 und 4.0

BizTalk Server 2000, 2002 und 2004

Commerce Server 2000 und 2002

Content Management Server (CMS) 2001 und 2002

SNA Server 4.0, Host Integration Server (HIS) 2000 und 2004
Wenn Sie die Version des MSBA mit graphischer Benutzeroberfläche verwenden (mbsa.exe), werden
automatisch die Schalter –baseline und –nosum genutzt. Die Option –baseline sucht nach Updates,
die auf der Windows-Updateseite als kritische Sicherheitsupdates markiert sind. Mit der Option
-nosum werden keine Prüfsummentests durchgeführt.
7
Bei der Kommandozeilenversion des MBSA (mbsacli.exe) müssen diese zwei Schalter extra
angegeben werden, um die gleichen Ergebnisse zu erreichen. Bei einer Prüfung in der HFNetChkVariante (Schalter /hf) müssen diese Schalter ebenfalls per Hand angegeben werden.
Anmerkung: Wenn MBSA im HFNetChk- Modus (mbsacli.exe /hf) ausgeführt wird, werden
Office- Updates nicht überprüft. Office Updates werden nur von MBSA GUI (mit grafischer
Oberfläche) und mbsacli.exe mittels Office Update Inventory Tool Code geprüft.
Unterstützung von Software Update Services (SUS) 1.0
Mit dem MBSA V1.2 können Überprüfungen gegen einen lokalen SUS-Server vorgenommen werden.
Diese Option kann sowohl über die MBSA-Benutzerschnittstelle, als auch über die
Kommandozeilenschnittstelle verwendet werden. Dieser Teil der Überprüfung wird dann gegen die
Liste der genehmigten Sicherheitsupdates, die der lokale SUS-Server zur Verfügung stellt,
durchgeführt. Im Gegensatz hierzu wird sonst eine Überprüfung gegen eine komplette Liste aller
verfügbaren Sicherheitsupdates vorgenommen. Diese stammt aus der Datei mssecure.xml, welche
sich der MSBA zur Laufzeit herunterlädt.
Systems Management Server-Unterstützung
Das SMS 2.0 Software Update Services Feature Pack bietet Geschäftskunden eine Lösung zur
Verwaltung von Sicherheitspatches für Windows NT 4.0-, Windows 2000- und Windows XP-Clients.
Das Feature Pack verwendet die Technologie des MBSA, um automatische und regelmäßige
Überprüfungen der auf den Clientcomputern installierten oder zur Installation empfohlenen
Sicherheitsupdates auszuführen. Diese Daten werden konvertiert und den Verzeichnisinformationen
des System Management Servers hinzugefügt. Sie können dann über webbasierte Berichte von einem
zentralen Punkt aus eingesehen werden. Systemadministratoren können die aktuellsten Updates
direkt auswählen und von Microsoft importieren. Diese können dann über den Systems Management
Server verteilt werden.
SMS 2.0-Kunden, die das Feature Pack verwenden, können das aktuellste Feature Pack über den
Microsoft Knowledgebase-Artikel 822643 beziehen. Diese Version verwendet dann die aktuellste
Version des MBSA.
Überprüfungsmodi
Auswahl des zu prüfenden Computers
Einzelner Computer
Das Prüfen eines einzelnen Computers ist der einfachste Operationsmodus des MBSA. Eine typische
Anwendung hierfür könnte ein „Selbsttest“ sein. Über die Aktion Einen Computer überprüfen haben
Sie die Möglichkeit, den Namen oder die IP-Adresse des zu prüfenden Computers anzugeben. Wenn
Sie diese Aktion auswählen, ist als Vorgabe der Name des Computers, auf dem der MBSA ausgeführt
wird, eingetragen.
Mehrere Computer
Wenn Sie Mehrere Computer überprüfen wählen, haben Sie die Möglichkeit, mehr als einen
Computer zu prüfen. Sie können eine ganze Domäne (über Eingabe des Domänennamens) prüfen
oder einen IP-Adressbereich eingeben und so alle Computer in diesem Bereich prüfen.
Anmerkung: Wenn auf MBSA-Art eine Domäne oder mehrere IP-Adressen geprüft werden,
versucht MBSA den Account einer jeden Maschine in der Gruppe zu prüfen. Das Tool zeigt an
welche Computer nicht geprüft werden konnten und setzt die Prüfung der Rechner fort, die
antworten. Wenn auf HFNetChk-Art geprüft wird, suche die HFNetChk Engine nach zwei IP
Ports, die für das Prüfen der Rechner nötig sind. Die Prüfung schlägt fehl, wenn kein Zugang
zu den Ports besteht. Dieser Vorprüfung beruht nicht auf ICMP.
8
Administrative Rechte
Um einen Computer zu prüfen, sind administrative Rechte notwendig. Im Fall eines „Selbsttests“ muss
das Konto, mit dem der MSBA gestartet wurde, entweder der Administrator oder ein Mitglied der
lokalen Administratoren-Gruppe sein. Wenn Sie mehrere Computer prüfen, müssen sie
Domänenadministrator sein oder auf jedem dieser Computer administrative Rechte besitzen.
Überprüfungsarten
Überprüfung im MBSA-Stil
Eine Prüfung im MBSA-Stil prüft und speichert alle Ergebnisse in einer individuellen XML-Datei. Diese
wird dann über den MBSA angezeigt (der gleiche Vorgang findet auch beim MBSA Version 1.1.1
statt). Prüfungen im MBSA-Stil können über die Benutzerschnittstelle (mbsa.exe) oder über die
Kommandozeilenschnittstelle (mbsacli.exe) vorgenommen werden. Die Prüfungen umfassen die
gesamten Prüfungen für Windows, IIS, SQL und Sicherheitsupdates.
Überprüfung im HFNetChk-Stil
Diese Prüfung überprüft nur fehlende Sicherheitsupdates und gibt die Resultate als Text in der
Eingabeaufforderung aus. Dies entspricht dem Verhalten früherer Versionen von HFNetChk. Eine
solche Prüfung kann nur über mbsacli.exe mit dem Schalter /hf vorgenommen werden. Er führt eine
HFNetChk-Prüfung über die MSBA-Anwendung durch. Diese Überprüfung kann auch lokal auf
Windows NT 4.0-Computern durchgeführt werden.
Überprüfungsberichte anzeigen
Jedes Mal, wenn Sie eine Prüfung im MBSA-Stil vornehmen, wird ein Sicherheitsbericht für jeden
geprüften Computer generiert. Dieser wird auf dem Computer, auf dem der MBSA ausgeführt wird,
gespeichert. Der Speicherort dieser Berichte wird oben im MBSA-Fenster angezeigt (er befindet sich
unter dem Benutzerprofil-Ordner). Die Sicherheitsberichte werden im XML-Format gespeichert.
Sie können die Berichte nach Computername, Prüfdatum, IP-Adresse oder Sicherheitsbewertung
sortieren. Mit diesem Feature ist es ebenso möglich, Sicherheitsprüfungen über einen längeren
Zeitraum zu vergleichen.
Netzwerküberprüfungen
Der MBSA kann verwendet werden, um bis zu 10.000 Computer über das Netzwerk zu prüfen. Er
wurde so entwickelt, dass er mit einem Konto mit den entsprechenden administrativen Rechten in
einer Domäne ausgeführt werden kann.
In einer mehrfach-Domänenumgebung und mit einer Firewall oder einem filternden Router zwischen
den unterschiedlichen Netzwerken (zwei separate Active Directory-Domänen), müssen die TCP-Ports
139 und 445, sowie die UDP-Ports 137 und 138 geöffnet werden.
Prüfen von lokalisierten Betriebssystemversionen
MBSA lädt mssecure.cab herunter und extrahiert die mssecure.xml-Datei. Diese enthält die Daten zu
den Sicherheitsupdates die für ein jedes der oben aufgelisteten Produkte zur Verfügung steht. MBSA
prüft anhand der Datei, ob auf dem zu prüfende Rechner die neuesten Sicherheitsupdates installiert
wurden.
9
Da der MBSA nun in vier Sprachen zur Verfügung steht, gibt es auch vier Versionen der XML-Datei.
Diese sind notwendig, da es möglich ist, dass lokalisierte Produktversionen unterschiedliche
Dateiversionen oder Prüfsummen aufweisen.
Wenn Sie mbsacli.exe oder mbsacli.exe /hf ausführen, wird eine Überprüfung der Prüfsummen
durchgeführt. Diese Überprüfung wird jedoch nur dann durchgeführt, wenn die Sprachversion des
Zielcomputers und die der XML-Datei übereinstimmen. Die Überprüfung der Prüfsummen ist das
beste Indiz dafür, dass die Version der Patch-Datei auf dem Rechner auch die ist, die von Microsoft
herausgegeben wurde. Sie können die Überprüfung in der Kommandozeilenversion über den Schalter
-sum erzwingen oder Sie über -nosum deaktivieren.
Was passiert, wenn auf einem deutschen System die deutsche Version des MBSA installiert ist und
die deutsche Version der Datei mssecure.cab nicht heruntergeladen werden kann?
Wenn der MBSA die deutsche Version von mssecure.cab nicht herunterladen kann, sucht er erst
einmal im MBSA-Ordner nach einer vorhandenen deutschen Dateiversion. Wenn diese nicht
vorhanden ist, versucht er die englische Datei mssecure.cab herunterzuladen. Er verwendet für die
Überprüfung der Sicherheitsupdates dann diese XML-Datei.
Beschreibung der Sicherheitsüberprüfungen
Windows-Überprüfungen
Mitgliedschaften in der Gruppe Administratoren
Dieser Test identifiziert die Benutzerkonten, die Mitglied in der lokalen Gruppe Administratoren sind.
Wenn es mehr als zwei einzelne administrative Konten gibt, listet der Test die Kontonamen auf und
markiert dies als potentielle Sicherheitslücke. Prinzipiell ist es sinnvoll, die Zahl der Administratoren
möglichst klein zu halten, da diese kompletten Zugriff auf den Computer haben.
Überwachung
Dieser Test stellt fest, ob die Überwachung auf dem geprüften Computer aktiv ist oder nicht. Microsoft
Windows besitzt eine Überwachungsfunktion, die spezielle Ereignisse auf Ihrem System protokolliert.
Dies können zum Beispiel erfolgreiche und fehlgeschlagene Anmeldeversuche sein. Wenn Sie Ihr
Systemprotokoll überwachen, können Sie mögliche Sicherheitsprobleme und bösartige Aktivitäten
erkennen.
Automatische Anmeldung
Diese Überprüfung ermittelt, ob die Funktion Automatische Anmeldung auf dem überprüften
Computer aktiviert ist und ob das Anmeldekennwort in der Registrierung verschlüsselt oder als NurText gespeichert ist. Wenn die automatische Anmeldung aktiviert ist und das Anmeldekennwort als
Nur-Text gespeichert ist, gibt der Sicherheitsbericht dies als wichtige Schwachstelle an. Wenn die
automatische Anmeldung aktiviert ist und das Anmeldekennwort in der Registrierung verschlüsselt ist,
gibt der Sicherheitsbericht dies als potenzielle Schwachstelle an.
Anmerkung: Wenn die Meldung "Fehler beim Lesen der Registrierung" angezeigt wird, ist
möglicherweise der Remoteregistrierungsdienst nicht aktiviert.
Die automatische Anmeldung speichert den Anmeldenamen und das Kennwort in der Registrierung,
so dass Sie sich automatisch bei Microsoft Windows 2000 oder Windows NT anmelden können, ohne
den Benutzernamen oder das Kennwort in der Benutzeroberfläche für die Anmeldung einzugeben. Die
automatische Anmeldung kann jedoch auch anderen Benutzern den Zugriff auf die Dateien und das
Verwenden Ihres Namens bei böswilligen Handlungen auf dem System ermöglichen (beispielsweise
kann jeder, der physikalisch auf den Computer zugreifen kann, das Betriebssystem starten und sich
automatisch anmelden). Wenn die automatische Anmeldung aktiviert ist und Sie dies nicht ändern
möchten, stellen Sie sicher, dass Sie keine vertraulichen Informationen auf dem Computer speichern.
10
Sie können das für die automatische Anmeldung verwendete Kennwort als Nur-Text in der
Registrierung speichern, oder Sie können es als LSA-Schlüssel (Local Security Authority)
verschlüsseln.
Automatische Updates
Diese Überprüfung identifiziert, ob die Funktion Automatische Updates auf dem überprüften
Computer aktiviert ist und wie sie gegebenenfalls konfiguriert ist. Automatische Updates können den
Computer automatisch mit den neuesten Updates von Microsoft auf dem neuesten Stand halten,
indem sie diese über die Windows Update-Website (oder über einen lokalen Software Update
Services-Server) direkt auf dem Computer bereitstellen. Automatische Updates sind für Computer
unter Windows® 2000 SP3 und höher verfügbar.
Automatische Updates können so konfiguriert werden, dass sie automatisch auf einen Computer
heruntergeladen und installiert werden. Alternativ können Sie die Updates zwar automatisch
herunterladen lassen, den Benutzer aber vor der Installation benachrichtigt. Als dritte Variante können
Sie den Benutzer sowohl vor dem Herunterladen als auch vor der Installation der Updates
benachrichtigen.
Test auf unnötige Dienste
Diese Überprüfung ermittelt, ob in der Datei Services.txt enthaltene Dienste auf dem überprüften
Computer installiert sind, und listet die Dateien mit ihrem aktuellen Status (aktiviert oder deaktiviert)
auf. Die Datei Services.txt ist eine konfigurierbare Liste der Dienste, die auf den überprüften
Computern überprüft werden sollen. Die Datei Services.txt wird standardmäßig mit dem Tool
installiert und enthält die folgenden Dienste:

MSFTPSVC (FTP)

TlntSvr (Telnet)

W3SVC (WWW)

SMTPSVC (SMTP)
In Microsoft Windows XP, Windows 2000 und Windows NT 4.0 ist ein Dienst ein Programm, das
immer beim Ausführen des Betriebssystems auf dem Computer im Hintergrund ausgeführt wird. Dazu
ist es nicht erforderlich, dass ein Benutzer angemeldet ist. Dienste werden benötigt, um
benutzerunabhängige Aufgaben auszuführen, wie beispielsweise einen Faxdienst, der auf eingehende
Faxe wartet.
Domänencontroller
Dieser Test prüft, ob der getestete Computer ein Domänencontroller ist. In einer Windows Server
2003-, Windows 2000- oder Windows NT-Domäne, ist ein Domänencontroller ein Server, der
Authentifizierungen bei der Domänenanmeldung vornimmt. Er pflegt außerdem die
Sicherheitsrichtlinien und die Masterdatenbank für die Sicherheitskonten der Domäne.
Domänencontroller regeln den Benutzerzugriff auf das Netzwerk. Dies umfasst unter anderem
Anmeldung, Authentifizierung und Zugriff auf Verzeichnisse und freigegebene Ressourcen.
Domänencontroller speichern außerdem die Benutzerkonten der Domäne (unter anderem auch die
Administratorkonten). Aus diesen Gründen sollten Domänencontroller als Schlüsselressourcen
ausreichend berücksichtigt werden. Sie benötigen einen starken Schutz. Sie sollten sicherstellen, dass
Sie angemessene Schritte zur Absicherung dieser Computer unternommen haben.
Dateisystem
Diese Überprüfung ermittelt das Dateisystem der jeweiligen Festplatte, um sicherzustellen, dass das
NTFS-Dateisystem verwendet wird. NTFS ist ein sicheres Dateisystem, mit dem Sie den Zugriff auf
einzelne Dateien oder Verzeichnisse steuern oder beschränken können. Wenn Sie beispielsweise
möchten, dass Kollegen Ihre Dateien anzeigen, aber nicht ändern können, können Sie zu diesem
11
Zweck die von NTFS bereitgestellten Zugriffssteuerungslisten (Access Control Lists, ACLs)
verwenden.
Anmerkung: Damit diese Überprüfung erfolgreich verläuft, muss das Laufwerk mithilfe von
administrativen Laufwerkfreigaben freigegeben sein.
Gastkonto
Dieser Test stellt fest, ob das Gastkonto auf dem geprüften Computer aktiviert ist. Beim Gastkonto
handelt es sich um ein Systemkonto, das zur Anmeldung an Computer unter Windows Server 2003,
Windows 2000 oder Windows NT verwendet wird, wenn ein Benutzer kein Konto auf dem Computer
oder in der Domäne (oder einer Domäne, der die Computerdomäne vertraut) hat. Unter Windows XPSystemen mit einfacher Dateifreigabe wird (als Teil des Sicherheitsmodells) für alle
Benutzerverbindungen über das Netzwerk das Gastkonto verwendet. Wenn das Gastkonto auf einem
Windows NT, Windows 2000, Windows XP (ohne Verwendung der einfachen Dateifreigabe) oder
Windows Server 2003 Computer aktiviert ist, wird dies im Sicherheitsbericht als Sicherheitsproblem
markiert. Unter Windows XP-Computern mit aktivierter einfacher Dateifreigabe und aktiviertem
Gastkonto wird kein Sicherheitsproblem angezeigt.
Internetverbindungsfirewall
Diese Überprüfung identifiziert, ob der Internetverbindungsfirewall (Internet Connection Firewall, ICF)
auf dem überprüften Computer für alle aktivierten Netzwerkverbindungen aktiviert ist und ob statische
eingehende Ports im Firewall geöffnet sind. Der Internetverbindungsfirewall ist eine Firewallsoftware,
die Computer schützt, indem sie steuert, welche Informationen vom Computer zum und vom Internet
oder zu und von anderen Computern in einem Netzwerk kommuniziert werden. Der
Internetverbindungsfirewall ist in Windows XP und Windows Server 2003 Standard Edition und
Enterprise Edition enthalten.
Passwörter lokaler Konten
Diese Überprüfung identifiziert leere oder einfache Kennwörter für die einzelnen lokalen
Benutzerkonten auf dem Computer. Diese Überprüfung wird auf Domänencontrollern nicht ausgeführt.
Für die Betriebssysteme Microsoft Windows Server 2003, Windows XP, Windows 2000 und
Windows NT ist die Benutzerauthentifizierung durch Kennwörter erforderlich. Die Sicherheit eines
Systems hängt sowohl von der Technologie wie der Policy ab. Benutzer können im Allgemeinen ihre
eigenen Kennwörter auswählen. Die Sicherheit des jeweiligen Kontos hängt vom ausgewählten
Kennwort ab. Diese Überprüfung listet alle Benutzerkonten auf und überprüft die Kennwörter auf
folgende Bedingungen:

Kennwort ist leer.

Kennwort stimmt mit dem Namen des Benutzerkontos überein.

Kennwort stimmt mit dem Namen des Computers überein.

Kennwort verwendet das Wort "Kennwort".

Kennwort verwendet das Wort "Admin" oder "Administrator".
Diese Überprüfung benachrichtigt Sie außerdem über alle deaktivierten oder zurzeit gesperrten
Konten.
Bei Computern unter Windows XP, die die einfache Dateifreigabe verwenden (dazu gehören
Computer unter Windows XP Home Edition und Windows XP Professional, die keiner Domäne
angehören), kennzeichnet MBSA lokale Konten mit leeren Kennwörtern nicht. Um Benutzer zu
schützen, die ihre Konten nicht durch Kennwörter schützen, können Windows XP Professional-Konten
ohne Kennwörter nur zum Anmelden an der physischen Computerkonsole verwendet werden. Konten
mit leeren Kennwörtern können standardmäßig nicht mehr für die Remoteanmeldung über das
Netzwerk verwendet werden.
12
Anmerkungen: Der MBSA versucht anhand der einzelnen Bedingungen in der vorstehenden
Liste, eine Kennwortänderungsanforderung zu veranlassen. MBSA wird das Password aber
nicht ändern, sondern aufführen, dass das Kennwort einfach ist. Diese Prüfung kann sehr viel
Zeit in Anspruch nehmen, abhängig von der Anzahl der Benutzer-Konten auf dem Rechner.
Betriebssystem-Version
Dieser Test ermittelt, welches Betriebssystem auf dem überprüften Computer ausgeführt wird.
Microsoft Windows Server 2003, Windows XP und Windows 2000 ermöglichen eine bessere
Zuverlässigkeit und Verfügbarkeit für alle geschäftlichen Vorgänge, wie beispielsweise die verbesserte
Kontrolle über Dateiberechtigungen.
Passwort-Ablauf
Diese Überprüfung ermittelt, ob die Kennwörter lokaler Konten ablaufen. Jedes lokale Benutzerkonto
mit einem nicht ablaufenden Kennwort wird im Überprüfungsbericht aufgelistet. Ausgenommen sind
Benutzerkonten, die in der Datei NoExpireOk.txt im Installationsordner des MBSA angegeben sind.
Einschränkungen für anonyme Benutzer
Diese Überprüfung ermittelt, ob die Registrierungseinstellung RestrictAnonymous auf dem
überprüften Computer zum Einschränken anonymer Verbindungen verwendet wird.
Anonyme Benutzer können bestimmte Arten von Systeminformationen, wie beispielsweise
Benutzernamen und -details, Kontorichtlinien und Freigabenamen, auflisten. Benutzer, die erweiterte
Sicherheit wünschen, können diese Funktion einschränken, so dass anonyme Benutzer nicht auf
diese Informationen zugreifen können.
Freigaben
Diese Überprüfung ermittelt, ob auf dem überprüften Computer freigegebene Ordner vorhanden sind.
Der Überprüfungsbericht listet alle auf dem Computer gefundenen Freigaben, einschließlich der
administrativen Freigaben, sowie ihre Berechtigungen auf Freigabe- und NTFS-Ebene auf.
Sie sollten Freigaben, sofern Sie sie nicht benötigen, deaktivieren oder sie schützen, indem Sie den
Zugriff auf bestimmte Benutzer beschränken durch Friegabe-Level und NTFS-Level Berechtigungen.
IIS-Überprüfungen
MSADC und virtuelle Scriptverzeichnisse
Diese Überprüfung ermittelt, ob die virtuellen Verzeichnisse MSADC (Beispielskripte für den
Datenzugriff) und Scripts auf einem überprüften Server mit IIS installiert sind. Diese Verzeichnisse
enthalten normalerweise Skripts, die - wenn sie nicht erforderlich sind - entfernt werden sollten. So
können Sie die Angriffsfläche des Computers verringern.
Auch das Tool IIS-Lockdown entfernt solche unnötigen Features aus den IIS 4.0, 5.0, 5.1 und 6.0.
Virtuelles Verzeichnis IISADMPWD
Diese Überprüfung ermittelt, ob das Verzeichnis IISADMPWD auf dem überprüften Computer
installiert ist.
Mit Internet Information Server (IIS) 4.0 können Benutzer ihre Windows-Kennwörter ändern. Benutzer,
deren Kennwörter demnächst ablaufen, werden benachrichtigt. Das virtuelle Verzeichnis IISADMPWD
wird als Teil der Standardwebsite mit den IIS 4.0 installiert und enthält Dateien, die von dieser
Funktion verwendet werden. Die Funktion wird über HTR-Dateien im Verzeichnis
13
<System>\System32\Inetsrv\iisadmpwd und eine ISAPI-Erweiterung mit dem Namen lsm.dll
implementiert.
IIS auf einem Domänencontroller
Diese Überprüfung ermittelt, ob Internetinformationsdienste auf einem Domänencontroller ausgeführt
werden. Dies wird im Überprüfungsbericht als schwerwiegende Schwachstelle gekennzeichnet, sofern
der überprüfte Computer nicht Small Business Server ausführt.
Wir empfehlen, einen IIS-Webserver nicht auf einem Domänencontroller auszuführen.
Domänencontroller enthalten vertrauliche Daten (zum Beispiel Informationen zu Benutzerkonten).
Wenn Sie einen Webserver auf einem Domänencontroller ausführen, wird der effektive Schutz des
Domänencontrollers sehr viel schwieriger.
IIS-Lockdown-Tool
Diese Überprüfung ermittelt, ob Version 2.1 des IIS-Lockdown-Tools auf dem überprüften Computer
ausgeführt wurde (IIS-Lockdown ist Teil des Microsoft Security Tool Kit).
IIS-Lockdown deaktiviert nicht benötigte Funktionen der IIS und verringert so deren Angriffsfläche. Die
Verwendung des Tools sollte einer der ersten Schritte sein, die Administratoren beim Schützen ihrer
Webserver ausführen.
Das IIS-Lockdown-Tool wurde für die IIS 4.0, 5.0 und 5.1 entwickelt und wird für neue Microsoft
Windows Server 2003-Installationen mit IIS 6.0 nicht benötigt. Wenn eine Aktualisierung von IIS 5.0
auf IIS 6.0 ausgeführt wird, sollte das Lockdown-Tool jedoch auf jeden Fall ausgeführt werden um
sicher zu gehen, dass nur benötigte Dienste auf dem Server ermöglicht werden.
IIS-Protokollierung
Diese Überprüfung ermittelt, ob die Protokollierung der Internetinformationsdienste aktiviert ist und ob
das erweiterte Protokolldateiformat für W3C verwendet wird.
Die IIS-Protokollierung hat einen größeren Umfang als die Windows-Ereignisprotokollierung oder
-Leistungsüberwachung. Die Protokolle können beispielsweise Informationen dazu enthalten, wer die
Website besucht hat, was der Besucher angezeigt hat und wann die Informationen zuletzt angezeigt
wurden. Sie können erfolgreiche und erfolglose Zugriffsversuche auf Websites, virtuelle Ordner oder
Dateien überwachen. Dazu gehören Ereignisse wie das Lesen der Datei oder das Schreiben in die
Datei. Sie können auswählen, welche Ereignisse Sie für eine Website, einen virtuellen Ordner oder
eine Datei überwachen möchten. Durch das regelmäßige Anzeigen dieser Dateien können Sie
Bereiche des Servers oder der Websites ausfindig machen, die Angriffen oder anderen
Sicherheitsproblemen ausgesetzt sind. Sie können die Protokollierung für einzelne Websites
aktivieren und das Protokollformat auswählen. Wenn die Protokollierung aktiviert ist, gilt dies für alle
Ordner der Website. Sie kann jedoch für bestimmte Verzeichnisse deaktiviert werden.
Übergeordnete Pfade
Diese Überprüfung ermittelt, ob die Einstellung AspEnableParentPaths auf dem überprüften Computer
aktiviert ist.
Durch das Aktivieren übergeordneter Pfade für die IIS können ASP-Seiten (Active Server Pages)
relative Pfade zum übergeordneten Verzeichnis des aktuellen Verzeichnisses verwenden (hierbei
handelt es sich um Pfade, die die Syntax ../ verwenden).
IIS-Beispielanwendungen
Diese Überprüfung ermittelt, ob die folgenden Beispielverzeichnisse der IIS auf dem überprüften
Computer installiert sind:
14

\Inetpub\iissamples

\Winnt\help\iishelp

\Programme\Gemeinsame Dateien\System\msadc
Die Beispielanwendungen, die typischerweise mit den IIS zusammen installiert werden, sollen die
Verwendung von dynamischem HTML (DHTML) und Active Server Pages (ASP) verdeutlichen und
eine Online-Dokumentation zur Verfügung stellen.
SQL-Überprüfungen
Der MBSA V1.2 überprüft alle Instanzen von SQL Server und MSDE, die auf den überprüften
Computer ausgeführt werden.
Mitglieder der Rolle Sysadmin
Diese Überprüfung ermittelt die Anzahl der Mitglieder der Sysadmin-Rolle und zeigt die Ergebnisse im
Sicherheitsbericht an.
Microsoft SQL Server-Rollen werden verwendet, um Anmeldungen zu gruppieren, die über dieselben
Rechte zum Ausführen von Vorgängen verfügen. Die feste Serverrolle Sysadmin gibt allen Mitgliedern
Systemadministratorrechte.
Anmerkung: Wenn die Fehlermeldung "Keine Berechtigungen für den Zugriff auf Datenbank"
angezeigt wird, verfügen Sie möglicherweise nicht über Berechtigungen für die
Masterdatenbank.
CmdExec-Rechte auf Sysadmin einschränken
Diese Überprüfung stellt sicher, dass CmdExec-Rechte nur auf Sysadmin beschränkt sind. Alle
anderen Konten mit CmdExec-Rechten werden im Sicherheitsbericht aufgelistet.
Microsoft SQL Server-Agent ist ein in Microsoft Windows XP, Windows 2000 und Windows NT
verfügbarer Dienst, der Aufträge ausführt, SQL Server überwacht und Warnungen sendet. Mit SQL
Server-Agent können Sie bestimmte administrative Aufgaben automatisieren, indem Sie Skripts für
einzelne Auftragsschritte verwenden. Ein Auftrag ist eine angegebene Serie von Vorgängen, die
nacheinander von SQL Server-Agent ausgeführt werden. Ein Auftrag kann eine Vielzahl von
Aktivitäten ausführen, beispielsweise das Ausführen von Transact-SQL-Skripten,
Befehlszeilenanwendungen und ActiveX-Skripten. Aufträge können erstellt werden, um häufig
wiederholte oder geplante Aufgaben auszuführen, und können Benutzer durch das Generieren von
Warnungen automatisch über den Auftragsstatus benachrichtigen.
SQL Server – Passwörter lokaler Konten
Diese Überprüfung identifiziert leere oder einfache Kennwörter für die einzelnen lokalen SQL ServerKonten. Sie listet alle Benutzerkonten auf und überprüft die Kennwörter auf folgende Bedingungen:

Kennwort ist leer.

Kennwort stimmt mit dem Namen des Benutzerkontos überein.

Kennwort stimmt mit dem Namen des Computers überein.

Kennwort verwendet das Wort "Kennwort".

Kennwort verwendet das Wort "sa".

Kennwort verwendet das Wort "Admin" oder "Administrator".
Diese Überprüfung benachrichtigt Sie außerdem über alle deaktivierten oder zurzeit gesperrten
Konten.
15
SQL Server - Authentifizierungsmodus
Diese Überprüfung ermittelt den Authentifizierungsmodus, der auf dem überprüften Computer mit
Microsoft® SQL Server™ verwendet wird.
SQL Server stellt zwei Modi für das Schützen des Zugriffs auf den Server bereit: den WindowsAuthentifizierungsmodus und den gemischten Modus.
Im Windows-Authentifizierungsmodus verwendet SQL Server ausschließlich die WindowsAuthentifizierung des Benutzers. Windows-Benutzern oder -Gruppen wird dann Zugriff auf den
Computer mit SQL Server erteilt. Im gemischten Modus können Benutzer durch Windows oder durch
SQL Server authentifiziert werden. Die Namen und Kennwörter werden im zweiten Fall durch SQL
Server verwaltet. Microsoft empfiehlt den Windows-Authentifizierungsmodus zu wählen.
Windows-Authentifizierungsmodus
In diesem Sicherheitsmodus kann SQL Server Benutzer mithilfe von Windows genau wie andere
Anwendungen authentifizieren. Mit dem Server hergestellte Verbindungen, die diesen Modus
verwenden, werden als vertrauenswürdige Verbindungen bezeichnet.
Wenn Sie den Windows-Authentifizierungsmodus verwenden, ermöglicht der Datenbankadministrator
Benutzern den Zugriff auf den Computer mit SQL Server, indem er ihnen das Recht erteilt, sich bei
SQL Server anzumelden. Windows-Sicherheitskennungen (Security Identifiers, SIDs) werden
verwendet, um durch Windows authentifizierte Benutzer nach zu verfolgen. Da Windows-SIDs
verwendet werden, kann der Datenbankadministrator den Zugriff direkt für Windows-Benutzer oder
-Gruppen erteilen.
Gemischter Modus
In SQL Server verwendet der gemischte Modus Windows zum Authentifizieren von Benutzern, wenn
der Client und der Server die Anmeldeauthentifizierungsprotokolle NTLM oder Kerberos verwenden
können. Wenn eine der Parteien die Standard-Windows-Anmeldung nicht verwenden kann, fordert
SQL Server Benutzername und Kennwort an. Diese werden dann mit den in den SQL ServerSystemtabellen gespeicherten Informationen verglichen.
Der gemischte Modus wird aus zwei Gründen bereitgestellt:

Abwärtskompatibilität mit älteren Versionen von SQL Server

Kompatibilität bei Installation von SQL Server unter den Betriebssystemen Windows 95 und
Windows 98 (die oben beschriebenen vertrauenswürdige Verbindungen werden von Windows
95 oder Windows 98 basierenden Computern nicht unterstützt, wenn diese als Server dienen).
SQL Server - Mitgliedschaft des Administators in der Sysadmin-Rolle
Diese Überprüfung ermittelt, ob die vordefinierte Gruppe Administratoren als Mitglied der SysadminRolle in Microsoft SQL Server aufgelistet ist.
Anmerkung: Wenn die Fehlermeldung "Keine Berechtigungen für den Zugriff auf Datenbank"
angezeigt wird, verfügen Sie möglicherweise nicht über Berechtigungen für die
Masterdatenbank.
Eine SQL Server-Rolle ist ein Sicherheitskonto, das eine Sammlung anderer Sicherheitskonten
darstellt. Es kann beim Verwalten von Berechtigungen als einzelne Einheit behandelt werden. Eine
Rolle kann SQL Server-Anmeldeberechtigungen, andere Rollen und Windows-Benutzerkonten oder
-Gruppen enthalten.
Feste Serverrollen gelten serverweit. Sie existieren außerhalb der Datenbanken. Jedes Mitglied einer
festen Serverrolle kann andere Anmeldungen zur selben Rolle hinzufügen. Alle Mitglieder der
Standardgruppe Administratoren sind auch standardmäßig Mitglieder der Sysadmin-Rolle. Diese
gewährt ihnen vollen Zugriff auf alle Datenbanken.
16
SQL Server-Verzeichniszugriff
Diese Überprüfung verifiziert, ob die folgenden Microsoft SQL Server-Verzeichnisse über
beschränkten Zugriff auf SQL Server-Dienstkonten und lokale Administratorengruppe verfügen:

Programme\Microsoft SQL Server\MSSQL$InstanceName\Binn

Programme\Microsoft SQL Server\MSSQL$InstanceName\Data

Programme\Microsoft SQL Server\MSSQL\Binn

Programme\Microsoft SQL Server\MSSQL\Data
Der MBSA überprüft die ACL für jeden dieser Ordner und listet die in ihr enthaltenen Benutzer auf.
Wenn andere Benutzer (außer den SQL Server-Dienstkonten und Administratoren) über Lese- und
Änderungszugriff für diese Ordner verfügen, kennzeichnet das Tool diese Überprüfung im
Sicherheitsbericht als Schwachstelle.
Ungeschütztes SA-Kennwort
Diese Überprüfung ermittelt, ob Kennwörter für Systemadministratorkonten in Microsoft SQL
Server 7.0 Service Pack 1 (SP1), SQL Server 7.0 SP2 oder SQL Server 7.0 SP3 als Nur-Text in die
Dateien Setup.iss, Sqlstp.log oder SqlspX.log in den Verzeichnissen %windir% und
%windir%\%temp% geschrieben werden. Wenn unter SQL Server 2000 zum Starten von SQL ServerDiensten Domänenanmeldeinformationen verwendet werden, wird die Datei Splstp.log oder
SqlspX.log ebenfalls überprüft.
Wenn beim Einrichten von SQL Server der gemischte Authentifizierungsmodus verwendet wird, wird
das Systemadministratorkennwort bei SQL Server 7.0 SP1, SQL Server 7.0 SP2 und SQL
Server 7.0 SP3 im Nur-Text-Format in den Dateien Setup.iss und Sqlstp.log gespeichert. Die
Anmeldeinformationen von Administratoren, die den Windows-Authentifizierungsmodus verwenden
(den empfohlenen Modus), wären nur gefährdet, wenn sie Domänenanmeldeinformationen angeben,
die beim automatischen Starten der SQL Server-Dienste verwendet werden sollen.
SQL Server-Gastkonto
Diese Überprüfung ermittelt, ob das Microsoft SQL Server-Gastkonto auf die Datenbanken (mit
Ausnahme von master, tempdb und msdb) zugreifen kann. Alle Datenbanken, auf die das Konto
zugreifen kann, werden im Sicherheitsbericht aufgelistet.
Anmerkung: Wenn die Fehlermeldung "Keine Berechtigungen für den Zugriff auf Datenbank"
angezeigt wird, verfügen Sie möglicherweise nicht über Berechtigungen für die
Masterdatenbank.
Um auf eine Datenbank und ihre Objekte zuzugreifen, muss ein Benutzerkonto über einen der
folgenden Wege autorisiert sein:

Das Anmeldekonto kann als Datenbankbenutzer angegeben sein.

Das Anmeldekonto kann ein Gastkonto in der Datenbank verwenden.

Eine Windows-Gruppenanmeldung kann einer Datenbankrolle zugeordnet werden. Einzelne
Windows-Konten, die Mitglieder dieser Gruppe sind, können dann eine Verbindung mit der
Datenbank herstellen.
Mitglieder der Datenbankrollen db_owner oder db_accessadmin oder der festen Serverrolle Sysadmin
erstellen die Datenbank-Benutzerrollen. Ein Konto kann mehrere Parameter enthalten: die SQL
Server-Anmeldekennung, den Datenbank-Benutzernamen (optional) und maximal einen Rollennamen
(optional). Der Datenbank-Benutzername muss nicht mit der Anmeldekennung des Benutzers
übereinstimmen. Wenn kein Datenbank-Benutzername angegeben ist, sind die Anmeldekennung des
Benutzers und sein Datenbank-Benutzername identisch. Nach dem Erstellen des
Datenbankbenutzers kann der Benutzer zu so vielen Rollen wie nötig zugewiesen werden. Wenn kein
Rollenname angegeben ist, ist der Datenbankbenutzer nur Mitglied der öffentlichen Rolle.
17
Mitglieder der Rollen db_owner, db_accessadmin oder Sysadmin können ebenfalls ein Gastkonto
erstellen. Das Gastkonto erlaubt jedem gültigen SQL Server-Anmeldekonto den Zugriff auf eine
Datenbank, auch ohne Datenbank-Benutzerkonto. Das Gastkonto erbt standardmäßig alle der
öffentlichen Rolle zugewiesenen Berechtigungen. Diese Berechtigungen können jedoch in höhere
oder niedrigere Berechtigungen als die der öffentlichen Rolle geändert werden.
SQL Server auf einem Domänencontroller
Diese Überprüfung ermittelt, ob Microsoft SQL Server auf einem Domänencontroller ausgeführt wird.
Wir empfehlen, SQL Server nicht auf einem Domänencontroller auszuführen. Domänencontroller
enthalten vertrauliche Daten (zum Beispiel Informationen zu Benutzerkonten). Sie sollten keine
weiteren Funktionen ausführen. Wenn Sie eine SQL Server-Datenbank auf einem Domänencontroller
bereitstellen, wird es deutlich schwerer, den Server vor Angriffen zu schützen.
SQL Server-Registrierungssicherheit
Diese Überprüfung stellt sicher, dass die Gruppe Jeder für die folgenden Registrierungsschlüssel auf
die Leseberechtigung beschränkt ist:

HKLM\Software\Microsoft\Microsoft SQL Server

HKLM\Software\Microsoft\MSSQLServer
Wenn die Gruppe Jeder über mehr als die Leseberechtigung für diese Schlüssel verfügt, wird dies im
Sicherheitsüberprüfungsbericht als wichtige Schwachstelle gekennzeichnet.
SQL Server-Dienstkonten
Diese Überprüfung ermittelt, ob die Microsoft SQL Server-Dienstkonten Mitglieder der lokalen
Gruppen Administratoren oder Domänen-Admins auf dem überprüften Computer sind oder ob SQL
Server-Dienstkonten im Kontext LocalSystem ausgeführt werden.
Die Dienstkonten MSSQLServer und SQLServerAgent werden auf dem überprüften Computer
überprüft.
Anmerkung: Wenn die Fehlermeldung "Keine Berechtigungen für den Zugriff auf Datenbank"
angezeigt wird, verfügen Sie möglicherweise nicht über Berechtigungen für die
Masterdatenbank.
Überprüfungen von Sicherheitsupdates
Der (MBSA) überprüft, ob die neuesten Service Packs und Sicherheitsupdates für die folgenden
Produkte und Komponenten vorhanden sind:
Service Packs sind getestete Sammlungen von Updates, die sich auf eine Vielzahl von durch Kunden
gemeldeten Problemen mit einem Microsoft-Produkt konzentrieren. Service Packs stellen Korrekturen
für Probleme bereit, die gemeldet wurden, nachdem das Produkt allgemein zur Verfügung gestellt
wurde. Sie verhalten sich kumulativ, das heißt, jedes neue Service Pack enthält alle Korrekturen aus
den vorherigen Service Packs sowie alle neuen Korrekturen. Sie sollen die Plattformkompatibilität mit
neu veröffentlichter Software und neu veröffentlichten Treibern sicherstellen und enthalten Updates,
die von Kunden oder durch interne Tests festgestellte Probleme beheben.
Sicherheitsupdates hingegen sind Zwischenupdates, die normalerweise einen bestimmten Fehler oder
eine bestimmte Sicherheitsschwachstelle beheben. Alle während der Lebensdauer eines Service
Packs angebotenen Sicherheitsupdates werden zusammen in das nächste Service Pack
aufgenommen. Jedes vom MBSA identifizierte Sicherheitsupdate ist mit einem Microsoft Security
Bulletin verbunden, das weitere Informationen zu diesem Update enthält. Die Ergebnisse dieser
Überprüfung identifizieren fehlende Sicherheitsupdates und enthalten einen Link zur MicrosoftWebsite, auf der die Details der einzelnen Security Bulletins angezeigt werden können.
18
Der MBSA testet die folgenden Produkte und Komponenten auf fehlende Service Packs und
Sicherheitsupdates:

Windows NT 4.0 (ohne mbsacli.exe /hf sind nur Remoteüberprüfungen möglich)

Windows 2000

Windows XP

Windows Server 2003

Internet Explorer 5.01 und höher (inklusive Internet Explorer 6.0 für Windows Server 2003)

Windows Media Player 6.4 und höher

IIS 4.0, 5.0, 5.1 und 6.0

SQL Server 7.0 und 2000 (inklusive Microsoft Data Engine)

Exchange Server 5.5, 2000 und 2003 (inklusive Exchange-Verwaltungstools)

Microsoft Office (nur lokale Überprüfungen; beachten Sie bitte die Liste der unterstützen
Office-Produkte)

Microsoft Data Access Components (MDAC) 2.5, 2.6, 2.7 und 2.8

Microsoft Virtual Machine

MSXML 2.5, 2.6, 3.0 und 4.0

BizTalk Server 2000, 2002 und 2004

Commerce Server 2000 und 2002

Content Management Server (CMS) 2001 und 2002

SNA Server 4.0, Host Integration Server (HIS) 2000 und 2004
Überprüfung von Anwendungen
Internet Explorer-Sicherheitszonen
Diese Überprüfung listet die aktuellen und empfohlenen Sicherheitseinstellungen für die Microsoft
Internet Explorer-Zonen für die einzelnen lokalen Benutzer auf dem überprüften Computer auf.
Die Internet Explorer-Zonen teilen das Internet oder Intranet in Zonen mit verschiedenen
Sicherheitsstufen ein. Auf diese Weise können Sie globale Standardeinstellungen für den Browser
festlegen, um alle Inhalte auf vertrauenswürdigen Sites zuzulassen oder bestimmte Arten von Inhalt,
beispielsweise Java-Applets oder ActiveX-Steuerelemente, abhängig von der Ursprungswebsite, nicht
zuzulassen.
Der Internet Explorer stellt vier vordefinierte Webinhaltszonen zu Verfügung: Internet, Lokales
Intranet, Vertrauenswürdige Sites und Eingeschränkte Sites. Im Dialogfeld Internetoptionen
können Sie die für die einzelnen Zonen gewünschten Sicherheitsoptionen festlegen und dann Sites,
abhängig von Ihrem Vertrauen in die Site, zu Zonen (mit Ausnahme von Internet) hinzufügen oder
aus ihnen entfernen. In Unternehmensumgebungen können Administratoren Zonen für Benutzer
einrichten. Sie können außerdem die Authentifizierungszertifikate von Softwareherstellern, denen sie
vertrauen oder nicht vertrauen, hinzufügen oder entfernen. So müssen Benutzer beim Verwenden des
Internets keine Sicherheitsentscheidungen treffen.
Sie können für die einzelnen Sicherheitszonen zwischen den Sicherheitseinstellungen Hoch, Mittel,
Niedrig, Sehr niedrig oder Benutzerdefiniert wählen. Für Sites in Zonen mit ungewisser
Vertrauenswürdigkeit wird die Einstellung Hoch empfohlen. Die Option Benutzerdefiniert ermöglicht
fortgeschrittenen Benutzern und Administratoren mehr Kontrolle über die folgenden
Sicherheitsoptionen:
19

Zugriff auf Dateien, ActiveX-Steuerelementen und Skripten

Zulässiger Funktionsumfang für Java-Applets

Angabe der Site-Identität mit SSL-Authentifizierung (Secure Sockets Layer)

Kennwortschutz mit NTLM-Authentifizierung (Abhängig von der Zone, in der sich ein Server
befindet, kann Internet Explorer Kennwortinformationen automatisch senden, den Benutzer
zur Eingabe von Benutzer- und Kennwortinformationen auffordern oder alle
Anmeldeanforderungen verweigern.)
Verstärkte Sicherheitskonfiguration für Administratoren
Diese Überprüfung identifiziert, ob die verstärkte Sicherheitskonfiguration für Internet Explorer für
Administratoren auf Computern unter Windows Server 2003 aktiviert ist. Wenn die verstärkte
Sicherheitskonfiguration für Internet Explorer für Administratoren installiert ist, identifiziert diese
Überprüfung außerdem Administratoren, die die verstärkte Sicherheitskonfiguration für Internet
Explorer deaktiviert haben.
Verstärkte Sicherheitskonfiguration für Nicht-Administratoren
Diese Überprüfung identifiziert, ob die verstärkte Sicherheitskonfiguration für Internet Explorer für
Benutzer, bei denen es sich nicht um Administratoren handelt, auf Computern unter Windows
Server 2003 aktiviert ist. Wenn die verstärkte Sicherheitskonfiguration für Internet Explorer für NichtAdministratoren installiert ist, identifiziert diese Überprüfung außerdem Nicht-Administratoren, die die
verstärkte Sicherheitskonfiguration für Internet Explorer deaktiviert haben.
Office-Makroschutz
Diese Überprüfung ermittelt die Sicherheitsstufe des Makroschutzes für Office System 2003,
Office XP, Office 2000 und Office 97 der einzelnen Benutzer. Folgende Office-Produkte werden
überprüft: PowerPoint®, Word, Excel und Outlook®.
Makros automatisieren sich wiederholende Aufgaben. Sie können Zeit sparen – wenn ein Benutzer
ein infiziertes Dokument öffnet, das ein schädliches Makro enthält, können sie jedoch auch zum
Übertragen von Viren verwendet werden. Durch das Öffnen oder Weitergeben eines infizierten
Dokuments kann sich das Makro auf andere Dokumente auf dem System oder auf andere Benutzer
verbreiten.
Zusätzliche Informationen
Microsoft-Sicherheitsstrategien und -lösungen
Microsoft Security Website
http://www.microsoft.com/germany/ms/security/default.mspx
MBSA Website
http://www.microsoft.com/technet/security/tools/mbsahome.asp (englischsprachig).
Einstufungen des Schweregrades von Security Bulletins
http://www.microsoft.com/germany/ms/security/wissenswertes.mspx.
Partnerunterstützung für Microsoft-Sicherheitslösungen
Verzeichnis der zertifizierten Anbieter
http://directory.microsoft.com/resourcedirectory/Solutions.aspx.
Microsoft Consulting Services
http://www.microsoft.com/germany/ms/services/grosskunden/cs.asp
20
Zugehörige Unterlagen
Winjur, Fehlermeldung Fehler bei der Anmeldung für den Benutzer
Winjur, Fehlermeldung Fehler bei der Anmeldung für den Benutzer
Das sollte Ihr Server können
Das sollte Ihr Server können
Brief
Brief
Manuelle Sicherung mit SQL Server 2005_2008
Manuelle Sicherung mit SQL Server 2005_2008
Systemvoraussetzungen SQL Server
Systemvoraussetzungen SQL Server
Fehlermeldung "Sie müssen die Verbindung zu diesem Server über
Fehlermeldung "Sie müssen die Verbindung zu diesem Server über
SQL Server 2012 - Abfragen in Microsoft SQL
SQL Server 2012 - Abfragen in Microsoft SQL
SQL Server 2012: Abfragen / Querying (MOC
SQL Server 2012: Abfragen / Querying (MOC
Langsamer Datenimport und/oder Datenabfrage - b
Langsamer Datenimport und/oder Datenabfrage - b
A) CLIENT: Hardware‐/Softwareanforderungen für eine
A) CLIENT: Hardware‐/Softwareanforderungen für eine
Systemvoraussetzungen standard
Systemvoraussetzungen standard
Volltextsuche im mit SQL Server 2012
Volltextsuche im mit SQL Server 2012
Herunterladen
Werbung