Objetivo

Esse artigo tem como objetivo demonstrar como instalar e configurar o MBSA (Microsoft Baseline Security Analyzer) de forma rápida e fácil.

Aplica-se a:

• Windows 2000 Service Pack 3 ou posterior;
• Windows XP Home Edition;
• Windows XP Professional;
• Windows Vista;
• Windows 7;
• Windows Server 2003;
• Windows Server 2008;
• Windows Server 2008 R2.

Visão Geral

O MBSA (Microsoft Baseline Security Analyzer) é uma ferramenta fácil de utilizar, a qual ajuda empresas de pequeno e médio porte determinar o seu estado de segurança de acordo com as recomendações de segurança da Microsoft e oferece orientação de remediação específica. Melhore seu processo de gerenciamento da segurança utilizando o MBSA para detectar vulnerabilidades mais comuns e atualizações de segurança faltando em seus sistemas de computador.

Requisitos de Sistema

O MBSA pode ser instalado, executado, e escaneado no Windows 2000 Service Pack 3 ou posterior, Windows XP Home Edition, Windows XP Professional, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008, e Windows Server 2008 R2, com algumas considerações. Embora o MBSA possa ser instalado em Windows XP Home Edition e pode executar uma varredura local, um computador com Windows XP Home Edition não pode ser examinado remotamente para vulnerabilidades administrativas. Windows XP Professional pode ser examinado remotamente se for associado a um domínio. Se não for associado a um domínio, um computador com Windows XP Professional pode ser examinado remotamente apenas após a segurança local estar definida para Clássico.

O MBSA não é executado no Windows XP Embedded e Windows IA64, mas as verificações remotas contra essas plataformas são totalmente suportados. Windows 2000 Datacenter não é suportado pelo MBSA porque o agente do Windows Update não é suportado nesta plataforma.

Instalando o MBSA

1 – Acesse o site abaixo para fazer o download do MBSA. Será carregado o site conforme mostra a figura 1.1.

http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=02be8aee-a3b6-4d94-b1c9-4b1989e0900c

Figura 1.1

2 - Escolha a versão mais apropriada para o seu ambiente. As versões disponíveis de download são: inglês, francês, alemão ou japonês e as plataformas x86 ou x64. Nesse artigo iremos escolher a versão em inglês e a plataforma x86 (MBSASetup-x86-EN.msi).

3 - Após o download ser concluído dê um duplo clique no arquivo MBSASetup-x86-EN.msi. Será carregado a caixa de diálogo conforme mostra a figura 1.2.

Figura 1.2

4 - Na caixa de diálogo Welcome to the Microsoft Baseline Security Analyser clique no botão Next para continuar. Será carregado a caixa de diálogo conforme mostra a figura 1.3.

Figura 1.3

5 - Na caixa de diálogo License Agreement selecione a opção I accept the license agreement e clique no botão Next. Será carregado a caixa de diálogo conforme mostra a figura 1.4.

Figura 1.4

6 - Na caixa de diálogo Destination Folder selecione o local onde será instalado o MBSA e em seguida clique no botão Next. Será carregado a caixa de diálogo conforme mostra a figura 1.5.

Figura 1.5

7 - Na caixa de diálogo Start Installation clique no botão Install. Será carregado a caixa de diálogo conforme mostra a figura 1.6.

Figura 1.6

8 - Na caixa de diálogo Controle de Conta de Usuário clique no botão Sim para permitir que o MBSA seja instalado. Será carregado a caixa de diálogo conforme mostra a figura 1.7.

Figura 1.7

9 - Na caixa de diálogo MBSA Setup clique no botão OK.

Configurando o MBSA

1 - Abra o MBSA através do atalho criado na Área de Trabalho ou acesse o menu Todos os Programas e clique em Microsoft Baseline Security Analyzer 2.2. Será carregado a caixa de diálogo conforme mostra a figura 1.8.

Figura 1.8

2 - Na caixa de diálogo Controle de Conta de Usuário clique no botão Sim para permitir que o MBSA seja executado. Será carregado a caixa a janela conforme mostra a figura 1.9.

Figura 1.9

Na janela do MBSA você tem 3 opções de tarefas:

• Scan a computer - Permite você executar uma varredura em um computador através do nome do computador ou endereço IP.
• Scan multiple computers - Permite você executar uma varredura em múltiplos computadores através do nome de domínio ou uma range de endereço IP.
• View existing security scan reports - Permite você visualizar, imprimir e copiar os resultados de varreduras executados anteriormente.

3 - Clique em Scan a computer. Será carregado a janela conforme mostra a figura 1.10.

Figura 1.10

Na janela Wich computer do you want to scan você poderá ativar ou desativar as seguintes opções:

• Check for Windows administrative vulnerabilities - Esta opção verifica questões de segurança no sistema operacional, como o status da conta Convidado, o tipo sistema de arquivos, compartilhamentos de arquivos disponíveis e os membros do grupo Administradores. As descrições de cada item verificado serão mostrados no relatório de segurança, com as instruções sobre como corrigir quaisquer problemas que serão encontrados.
• Check for weak passwords - Está opção verifica se existem senhas em branco e fracas durante uma varredura. Esta verificação poderá levar um longo tempo, dependendo do número de contas de usuário no computador. Esta verificação será desativada quando o computador for um controlador de domínio para reduzir o número de senhas que são verificadas. Note que esta verificação poderá produzir entradas no log de eventos de segurança se a auditoria estiver habilitada no computador para eventos de logon/logoff. Se esta opção não for selecionada, a verificação em contas do Windows e SQL Server não serão executadas.
• Check for Internet Information Services (IIS) administrative vulnerabilities - Está opção verifica questões de segurança no IIS, como aplicativos de exemplo e certos diretórios virtuais presentes no computador. O MBSA também verifica se a ferramenta de bloqueio do IIS foi executado no computador, que pode ajudar um administrador configurar e proteger servidores executando o IIS. As descrições de cada item verificado no IIS serão mostrados nos relatórios de segurança, com instruções sobre como corrigir quaisquer problemas que serão encontrados.
• Check for SQL administrative vulnerabilities - Está opção verifica vulnerabilidades administrativas em cada instância do SQL Server e Microsoft Data Engine (MSDE) encontrados no computador, tais como o tipo de modo de autenticação, status senha da conta SA e as associações de conta de serviço. Todas as verificações individuais são executadas em cada instância do SQL Server e MSDE. As descrições de cada verificação serão mostrados nos relatórios de segurança, com instruções sobre como corrigir quaisquer problemas que serão encontrados.
• Check for security updates (missing updates)- Está opção fornece integração para clientes não gerenciados que usam o Microsoft Update e clientes gerenciados pelo WSUS, SMS ou SCCM. O MBSA é uma ferramenta completa standalone para o profissional de tecnologia da informação. Quando necessário, o MBSA também usa um catálogo offline que é atualizado pela Microsoft toda vez que novas atualizações de segurança são liberadas. Este catálogo é usado para verificar o status das atualizações de segurança no computador que está sendo executado a varredura. Se as atualizações de segurança no catálogo não estão instalados no computador examinado, o MBSA exibe um alerta dessas atualizações no relatório de segurança. O MBSA verifica atualizações de segurança ausentes, service packs e atualizações para todos os produtos suportados pelo Microsoft Update.
  • Configure computers for Microsoft Update and scanning prerequisites - Esta opção é desativada por padrão no MBSA. Quando ativado, esta opção permite o MBSA automaticamente instalar ou atualizar o agente do Windows Update em cada computador para a versão necessária do WUA para uma varredura de atualização de segurança bem sucedido. Windows Installer também é necessário para a verificação de determinados produtos e a varredura informará se o Windows Installer precisará ser atualizado ou outros pré-requisitos para a realização de uma varredura de sucesso estão faltando. Computadores com conexão à Internet com atualizações automáticas ativado são atualizados automaticamente. Computadores que não cumprem os requisitos para uma varredura de sucesso não podem ser verificados para as atualizações, sem a versão correta desses componentes clientes necessários do WUA. Manter essa opção em seu estado padrão (não selecionada) garante que o processo de varredura não irá alterar a configuração do computador, mas poderá resultar em alguns computadores ou produtos não sendo verificado até que o agente do Windows Update esteja atualizado.
  • Advanced Update Services options:
    • Scan using assigned Windows Update Services servers only - Use esta opção em ambientes gerenciados pelo WSUS. Com esta opção selecionada, os clientes que não são atribuídos para um servidor WSUS irão receber uma mensagem de erro no relatório indicando que não pôde ser verificado. Esta opção permitirá um administrador do WSUS uma maneira de garantir que somente os computadores gerenciados serão incluídos, e como resultado, apenas as atualizações aprovadas serão incluídas e classificadas nos relatórios.
    • Scan using Microsoft Update only- Utilize esta opção para avaliar as atualizações de segurança usando o site Microsoft Update e ignorar todas as atualizações aprovadas em computadores que são atribuídos para um servidor WSUS. Se o site Microsoft Update não estiver acessível, o catálogo offline será usado. Esta opção faz com que todas as atualizações sejam classificadas de acordo com os avisos críticos ou não críticos, em vez de o placar informativo utilizado para atualizações WSUS não aprovadas.
    • Scan using offline catalog only - Utilize esta opção para avaliar as atualizações de segurança usando somente o catálogo offline e ignorar o site Microsoft Update e as atualizações aprovadas em computadores que são atribuídos para um servidor WSUS.
    • Scan using additional catalogs only - Esta opção só está disponível quando catálogos adicionais da Microsoft estão disponíveis. Utilize esta opção para avaliar as atualizações de segurança usando somente catálogos adicionais e ignorar o site Microsoft Update e todas as atualizações aprovadas em computadores que são atribuídos para um servidor WSUS.

4 - Na janela inicial do MBSA clique em Scan multiple computers. Será carregado a janela conforme mostra a figura 1.11.

Figura 1.11

A janela Which computers do you want to scan permite você executar uma varredura através do domínio ou por uma range de endereço IP. As opções de configuração são as mesmas informadas no passo anterior.

5 - Na janela inicial do MBSA clique em View existing security scan reports. Será carregado a janela conforme mostra a figura 1.12.

Figura 1.12

Nota

Essa opção só estará disponível para acesso após a execução da primeira varredura em um computador. Caso você ainda não tenha executado nenhuma varredura acesse essa opção mais tarde.

Executando o scan com o MBSA

1 - Após escolher as opções de configuração desejada, clique no botão Start Scan. Será carregado a janela conforme mostra a figura 1.13.

Figura 1.13

2 - Aguarde até que o download das informações de atualizações de segurança seja concluída. Será carregado a janela conforme mostra a figura 1.14.

Figura 1.14

Relatório do MBSA

Após executar a primeira varredura será apresentado uma janela conforme mostra a figura 1.14 com o relatório completo da varredura executado no computador local ou remoto. O resultado de um computador em comparação com os outros poderá ser diferente devido as variações de atualizações de segurança e configurações entre os computadores, mas a estrutura do relatório e o formato serão os mesmos.

Os relatórios de varreduras são armazenados no computador em que o MBSA está instalado, na pasta SecurityScans do perfil do usuário (% userprofile%\SecurityScans) por padrão. Usando a interface de linha de comando com o parâmetro /rd (diretório dos relatórios) a pasta poderá ser especificada para colocar os relatórios concluídos de varredura em uma pasta específica ou em um compartilhamento de rede. O MBSA cria relatórios de segurança individuais para cada computador que é executado a varredura, seja localmente ou remotamente. Arquivos de relatório são nomeados com a extensão do arquivo .MBSA, que é uma associação de arquivo registrado para MBSA, de modo que clicando no arquivo no Windows Explorer irá iniciar o MBSA para que o relatório seja exibido.

Em cada seção do relatório você encontrará as seguintes informações:

Score - Esse item apresentará através de ícones o status de cada varredura executada.

Issue - Esse item apresentará o assunto que está sendo verificado.

Result - Esse item apresentará o resultado da varredura. Nele você encontrará também:

What was scanned - Esse item apresentará uma descrição completa da varredura.

Result details - Esse item apresentará os detalhes do resultado da varredura.

How to correct this - Esse item apresentará como corrigir o problema encontrará na varredura.