• Artikel

Schwerpunkt DienstprogrammeDas Microsoft Security Assessment Tool

Lance Whitney

Laden Sie den Code für diesen Artikel herunter: Microsoft Security Assessment Tool 3.0 (nur auf Englisch) (10547.2KB)

Das Aufspüren von Netzwerksicherheitsproblemen kann knifflig und zeitaufwändig sein. Ein Tool, das Ihnen beim Identifizieren und Beheben von Sicherheitsrisiken helfen kann, ist das Microsoft® Security Assessment Tool (MSAT), ein kostenloses Dienstprogramm mit einem elektronischen Fragebogen, in dem Sie Ihre Sicherheitsumgebung beschreiben. Das MSAT ist für mittelständische Organisationen mit 50 bis 500 Computern ausgelegt und stellt 172, in verschiedene Kategorien aufgeteilte Fragen. Anschließende werden eine Analyse Ihrer Lage und Verbesserungsempfehlungen bereitgestellt.

Das MSAT beginnt mit einer Reihe von Fragen zu Ihrem Geschäftsmodell, die zum Erstellen eines Geschäftsrisikoprofils (Business Risk Profile, BRP) verwendet werden, in dem Ihr Sicherheitsrisiko im Vergleich zu anderen Unternehmen in Ihrer Branche bewertet wird. Die Beantwortung des Fragebogens dauert in der Regel zwei Stunden. Sie können die Beantwortung der Fragen jederzeit unterbrechen und wieder aufnehmen. Dies sind die Kategorien sowie einige Beispielfragen:

Grundlegende Informationen Wie viele Clients und Server sind in Ihrer Organisation vorhanden?

Infrastruktursicherheit Arbeiten Ihre Mitarbeiter von Remotestandorten aus? Greifen externe Auftragnehmer auf Ihr Netzwerk zu?

Anwendungssicherheit Entwickelt Ihr Unternehmen Anwendungen? Werden vertrauliche Daten gespeichert, die von Ihren Anwendungen verarbeitet werden?

Betriebssicherheit Stellt Ihr Unternehmensnetzwerk eine Verbindung zu externen Netzwerken her? Erhält Ihre Organisation Datenfeeds von externen Parteien?

Mitarbeitersicherheit Lagert Ihr Unternehmen die Computerwartung aus? Dürfen Mitarbeiter vertrauliche Unternehmensdaten auf ihre Arbeitsstationen herunterladen?

Umgebung Wie viele Mitarbeiter sind in Ihrer Organisation beschäftigt? Gibt es in der IT-Abteilung eine hohe Mitarbeiterfluktuation?

Anschließend generiert das MSAT eine Bewertung, die eine als Tiefenverteidigungsindex (Defense-in-Depth Index, DiDI) bezeichnete Messung verwendet. Diese konzentriert sich auf die bereits bei Ihnen vorhandenen Sicherheitsprozesse. Es werden dieselben Kategorien verwendet, und die folgenden Beispiele sind typische Fragen: Verwendet Ihre Organisation Firewalls an allen Standorten? Verwenden Sie benutzerdefinierte Makros in Ihren Microsoft Office-Anwendungen? Haben Ihre Benutzer Administratorrechte auf ihren Arbeitsstationen? Verfügen Sie über eine Richtlinie zum Bereitstellen von Patches und Updates auf Ihren PCs?

Als Reaktion auf Ihre Antworten bietet das MSAT drei Berichte an. Der Zusammenfassungsbericht enthält ein Balkendiagramm mit den Ergebnissen. Ein hohes Ergebnis beim BRP weist auf höhere Risiken hin, während ein hohes Ergebnis beim DiDI mehr Sicherheit bedeutet. Ein niedriges BRP und ein hoher DiDI mögen zwar wünschenswert scheinen, doch im MSAT wird mehr Wert auf die Untersuchung einzelner Bereiche gelegt. Daher zeigt der vollständige Bericht für jeden einzelnen Bereich an, ob die Sicherheit bewährten Methoden entspricht, Verbesserungen erforderlich sind oder ein großer Mangel besteht (siehe Abbildung 1).

Abbildung 1 Der vollständige Bericht

Abbildung 1** Der vollständige Bericht **(Klicken Sie zum Vergrößern auf das Bild)

Schließlich werden Sie im Vergleichsbericht gebeten, die Ergebnisse anonym auf eine sichere MSAT-Website hochzuladen, auf der Sie Ihre Ergebnisse mit denen anderer Organisationen vergleichen können.

Sie können das Tool von der Microsoft Security Guidance-Website unter securityguidance.com oder von der TechNet Magazin-Website unter technetmagazine.com/code07.aspx herunterladen.

Lance Whitney ist IT-Berater, Schulungsleiter und Autor technischer Artikel. Er hat sich intensiv mit dem Optimieren von Windows-Arbeitsstationen und -Servern beschäftigt. Lance Whitney ist von Haus aus Journalist und hat vor etwa 15 Jahren den Sprung ins kalte Wasser der IT-Welt getan.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.