Beveiliging is complex en vraagt al snel veel van een IT-beheerclub. Idealiter wordt er gewerkt met baselines die ook nog regelmatig worden bijgewerkt en waarmee alle ingerichte servers vervolgens vergeleken worden. Zo kan voorkomen worden dat de status van de beveiliging van de servers een ratjetoe wordt. Microsoft biedt beheerders de helpende hand met de Microsoft Baseline Security Advisor. Dit programma kent de door Microsoft zelf opgestelde richtlijnen en best practices voor beveiliging en het inrichten van servers en kan op commando worden ingezet om de eigen servers te controleren.

Controleer weer eens

De Microsoft Baseline Security Analyzer is zo te downloaden van de Microsoft website. Op Technet staat altijd de laatste versie. De laatste versie is 2.1 die zowel Windows Vista als Windows Server 2008 ondersteunt. Een ge├╝pdatete versie met ondersteuning voor Windows 7 en Windows Server 2008 R2 wordt op korte termijn verwacht. Het verschijnen daarvan is een mooi moment om de vergelijkingstool weer eens op de eigen infrastructuur los te laten.

De MBSA kan zowel individuele computers scannen als ook meerdere. Identificatie gebeurt op servernaam, IP-adres, domeinnaam of IP-reeks. De MBSA controleert onder meer fouten in de beheertemplate, het gebruik van zwakke wachtwoorden, fouten in de inrichting van IIS, SQL en de configuratie van Windows Update. Om de tool te kunnen gebruiken is wel een administrator-account nodig op iedere server of groep servers die moet worden gecontroleerd.

Met de commandline

Behalve via de MBSA-gui kan de Baseline Security Analyzer ook vanaf de prompt worden gestart via het commando mbsacli.exe. Er zijn talloze parameters om op te geven en de werking van de tool te sturen zoals /target domain\computer of /target IP-adres. Er kan ook met een lijst van namen op IP-adressen worden gewerkt via het commando /listfile, gevolgd door de bestandsnaam van de lijst in text-formaat. Via de bekende /? zijn alle parameters in een listing te bekijken.

De MBSA slaat zijn rapporten op in XML-formaat in de map users\gebruikersnaam\SecurityScans. Bron: Techworld