Microsoft MBSA - Baseline Security Analyzer

 MBSA - Pré-requis

• MBSA Présentation
  
• MBSA Installation 
  
• MBSA Exécution 
  
• MBSA Résultats 
  
• MBSA Command Line 
  
• MS HotFix 
  
• MS Service Packs 
  
• MS Win Update 
  
• MS Office Update 
  
• Win Limiter compte 
  
• Win - Ntfs ou Fat32 
  

Pour tirer le meilleur parti de MBSA :

• Vous devez être familiarisé avec les concepts de sécurité Windows.

Vous pouvez exécuter MBSA

• en utilisant l'interface utilisateur graphique GUI
  L'exécutable à interface graphique s'appelle Mbsa.exe
  
  
• ou en utilisant le mode "ligne de commande"
  L'exécutable en mode "ligne de commande" s'appelle Mbsacli.exe.
  
  

MBSA utilise les ports 138 et 139 pour effectuer ses analyses (nota : la documentation Microsoft est obscure et certaines documentations citent les ports TCP 139 et 445). Dans un environnement multi-domaines, là où un pare-feu ou un routeur filtrant sépare les 2 réseaux, les ports TCP 139 et 445 ainsi que UDP 137 et 138 doivent être ouverts pour permettre à MBSA de se connecter et s'authentifier auprès du réseau distant à scanner. Si vous avez fermé ces ports avec un pare-feu (firewall) ou avec des utilitaires comme Zeb Protect, vous devez permettre à Windows de les ouvrir en levant vos sécurités. Vous les rétablirez après avoir exécuté MBSA.



MBSA nécessite des privilèges administrateur sur l'ordinateur à analyser. Lorsqu'utilisé en mode console, les options /u (username) et /p (password) peuvent être utilisées pour spécifier le nom d'utilisateur et son mot de passe afin d'exécuter l'analyse. Ne conservez pas vos noms d'utilisateur et vos mots de passe dans des fichiers texte, tels que des fichiers de commandes (.bat) ou des scripts. Si vous avez créé une commande avec les switches /u et /p, détruisez cette commande et ses traces dans la corbeilles puis utilisez un effaceur de sécurité (déplacement des fichiers sur le disque, type défragmentation, puis ré-écriture de 0 et de 1 binaire, bit à bit, 7 fois, sur les zones libres). Détruisez vos documents papier contenant ces identificateurs et mot de passe.



MBSA nécessite les logiciels suivants :

• Système d'exploitation Microsoft Windows NT® 4.0 avec Service Pack 4 et versions ultérieures, Windows 2000 ou Windows XP (les analyses locales ne sont permises que sur les ordinateurs Windows XP qui utilisent un partage de fichiers simple)
  
  
• Internet Explorer 5.01 ou suivants avec AvtiveX autorisé (réglage de sécurité sur "moyen")
  
  
• L’outil Microsoft Baseline Security Analyzer nécessite MSXML. Vous devez installer MSXML avant de démarrer MBSA. Vous pouvez le télécharger (fichier msxmlfra.msi) depuis :
  http://download.microsoft.com/download/b/f/f/bff13291-3245-435f-b3bd-47e9461d8877/
  Voir cette page à propos de MSXML
  http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=3144b72b-b4f2-46da-b4b6-c5d7485f2b42
  
  
• Internet Information Services (IIS) 4.0, 5.0 (requis pour les contrôles de vulnérabilité d'IIS). Bien entendu, MBSA ne recherche pas les mises à jour de sécurité manquantes si ce produit n'est pas installé sur la machine analysée.
  
  
• SQL Server 7.0, 2000 (requis pour les contrôles de vulnérabilité des SQL). Bien entendu, MBSA ne recherche pas les mises à jour de sécurité manquantes si ce produit n'est pas installé sur la machine analysée.
  
  
• Microsoft Office 2000, XP (requis pour les contrôles de vulnérabilité d'Office). Bien entendu, MBSA ne recherche pas les mises à jour de sécurité manquantes si ce produit n'est pas installé sur la machine analysée.
  
  

MBSA nécessite les services suivants, installés et activés :

• Partage de fichiers et d'imprimantes doit être autorisé et activé
  Attention : si le partage de fichiers et d'imprimantes est désactivé, le service "Serveur" peut, dans certains cas, disparaître de la liste des services.
  
  
  • Démarrer > Panneau de configuration > Outils > Options des dossiers > Affichage > Cocher la case "Utiliser le partage de fichiers simple (recommandé)" > Appliquer > Ok
    
    
    
    
  • Démarrer > Connexion > Clic droit sur votre connexion > Propriétés > Onglet "Gestion du réseau" > Installer > Service > Ajouter > "Partage de fichiers et d'imprimantes pour les réseaux Microsoft" > Ok > Oui > Fermer
    
    
    
    
    
    
    
    
    
    
    
    
    Avant
    
    
    Après
    
    
    
    
• Serveur
  Attention : si le partage de fichiers et d'imprimantes est désactivé, le service "Serveur" peut, dans certains cas, disparaître de la liste des services. Rétablir le "Partage de fichiers et d'imprimantes" et le service "Serveur" ré-apparaît.
  
  
  • Nom de l'exécutable : Svchost.exe
    
  • Nom interne : lanmanserver
    
    
• Accès à distance au Registre
  
  • Nom de l'exécutable : svchost.exe
    
  • Nom interne : remote registry
    
    

Rédigé en écoutant