ホワイト ペーパー : Microsoft Baseline Security Analyzer V1.2

  • [アーティクル]

公開日: 2004年1月19日

Microsoft Corporation
発行 : 2004 1

トピック

MBSA Version 1.2 の新機能
MBSA V1.2 の機能
スキャン モード
脆弱性のチェックの説明
その他のリソース

概要

MBSA (Microsoft® Baseline Security Analyzer) は、Windows® ベースの 1 台以上のコンピュータについて、セキュリティの構成に問題が無いかをスキャンするためのツールです。MBSA は Windows ベースのコンピュータをスキャンし、オペレーティング システムと、Windows 2000 Server の IIS (Internet Information Services) や SQL Server™ などのインストールされているその他のコンポーネントについて、セキュリティの構成の問題がないかどうかをチェックしたり、推奨されるセキュリティ修正プログラムがインストールされ、最新の状態になっているかどうかをチェックしたりします。

MBSA Version 1.2 の新機能

MBSA は、Windows NT 4.0、Windows 2000、Windows XP および Windows Server 2003 システムのセキュリティ評価ツールです。このツールを使って、オペレーティング システム、IIS、SQL、およびデスクトップ アプリケーションの一般的な構成に問題が無いかをスキャンしたり、Windows、Internet Explorer、Windows Media Player、 IIS、SQL、Server および Exchange Server、Microsoft Office、Microsoft Data Access Components (MDAC)、Microsoft 仮想マシン、MSXML、BizTalk、Commerce Server、Content Management Server、および Host Integration Server のセキュリティ修正プログラムがインストールされているかどうかをチェックできます。MBSA Version 1. 2 は 2004 年 1 月にリリースされました。

MBSA Version 1. 2 では、Version 1.1.1 のリリース後の更新と共に、次のような新機能が追加されています。

言語サポートの追加

MBSA V1.2 は現在英語、ドイツ語、フランス語、日本語バージョンの Windows 向けにローカライズされています。ユーザーはそれぞれの言語の MBSA のビルドをダウンロードすることができます。これらのビルドにより、その言語のためにローカライズされたセキュリティ修正プログラム情報を含む mssecure.xml ファイルが Microsoft ダウンロード センターから利用可能となった際にダウンロードされます。ローカライズされたすべてのビルドは、使用している言語に一致するローカライズ版の xml ファイルが利用可能でない場合、英語版の mssecure.xml ファイルを使用します。(英語環境のコンピュータ以外をスキャンする際にはチェックサムのチェックが無効にされます)

注意: 2004/1/20 現在、日本語版の mssecure.cab はベータ版を提供しており、一部の機能に制限があります。詳細は次のページをご覧下さい。

製品サポートの追加

MBSA V1.2 には、以下の製品のセキュリティ修正プログラムのチェックが追加されました。

  • Exchange Server 2003

  • Microsoft Office (ローカル スキャンのみ。製品リストを参照ください。)

  • Microsoft Data Access Components (MDAC) 2.5、2.6、2.7 および 2.8

  • Microsoft 仮想マシン

  • MSXML 2.5、2.6、3.0 および 4.0

  • BizTalk Server 2000、2002 および 2004

  • Commerce Server 2000 および 2002

  • Content Management Server (CMS) 2001 および 2002

  • SNA Server 4.0、Host Integration Server (HIS) 2000 および 2004

:    Microsoft Office のサポートは、Office Update Inventory Tool に置き換わり MBSA に統合されます。

ファイルサポートの追加

MBSA V1.2 では、別のバージョンのファイルをサポートする機能が追加されました。以下の要素により、ファイルには、異なるバージョン番号およびチェックサムが使用される可能性があります。

  • 修正プログラムの QFE / ローカル配布リリース vs. 一般配布リリース

  • マルチ プロセッサ 用の修正プログラム vs. シングル プロセッサ用の修正プログラム

  • セキュリティ情報以外の修正プログラムかセキュリティ情報の修正プログラム

  • 更新版のセキュリティ情報

以前のバージョンの MBSA では、黄色の X がついたアップデートをレポートし、「ファイル バージョンは予期されたより新しいバージョンです」 というメッセージが表示されました。MBSA V1.2 では、新たに代替ファイルのサポートが追加され、mssecure.xml に一覧されたファイルが、スキャンの行われたコンピュータ上にあるものと一致した場合、このようなファイルを「チェック通過」 (緑のチェック) としてレポートされます。

新たなバージョンのチェック

MBSA V1.2 では、MBSA の新たなバージョンがリリースされた場合、オンライン上でチェックが行われます。MBSA の新たなバージョンがリリースされた場合、ユーザーには、GUI および CLI の両方で、更新の情報が通知されます。

Windows の脆弱性チェックの追加

MBSA V1.2 には、自動アップデート機能の設定のチェックおよびインターネット接続ファイアウォール (ICF) のチェックが追加されました。自動アップデートは、この機能が有効に設定された場合、および修正プログラムを自動的にダウンロード、インストールする設定であるかどうか、または、グループ ポリシーにより、この機能が有効に設定され、制御されているかどうかがレポートするものです。ICF は、MBSA は、ICF をサポートするコンピュータ上のすべてのネットワーク接続をスキャンし、ファイアウォールが有効にされているか、または外部のトラフィックに対し、ポートが開かれているかどうかのレポートが行われます。

カスタム Internet Explorer ゾーンの解釈

MBSA 1.2 は、カスタム IE ゾーン設定を解釈し、推奨される既定のゾーン レベルの設定と比較します。スキャン レポートにより、全体のゾーンに推奨される既定値より低く設定されたカスタム設定がされたすべての個別のゾーン設定が識別されます。

新たな MBSA のコマンドラインスイッチ

MBSA 1.2 には、以下の新たなコマンド ライン スイッチが追加され、mbsacli.exe または mbsacli.exe /hf と共に使用することができます。

  • -unicode (日本語版の MBSA を実行している、または日本語の Windows コンピュータのスキャンを行っているユーザーに Unicode アウトプットを生成します)

  • -nvc (より新しいツールのバージョンが利用可能な場合、MBSA のチェックが行われないようにします)

ページのトップへ

MBSA V1.2 の機能

MBSA Version 1.2 では、Windows NT® 4.0、Windows 2000、Windows XP Professional、および Windows XP Home Edition を実行するコンピュータをスキャンできます。MBSA は、Windows 2000 Professional、Windows 2000 Server、Windows XP Home、または Windows XP Professional またはWindows Server 2003 を実行するコンピュータから実行できます。

システム構成のチェック

Windows オペレーティングシステム

一般的に、MBSA は、"Guest" アカウントのステータス、ファイル システムのタイプ、使用可能なファイル共有、Administrators グループのメンバなど、Windows オペレーティング システム (Windows NT 4、Windows 2000、Windows XP、Windows Server 2003) のセキュリティの問題をスキャンします。各 OS のチェックの説明は、検出された問題を解決する手順と共にセキュリティ レポートに示されます。

Internet Information Server

このグループのチェックでは、コンピュータに存在するサンプル アプリケーションや特定の仮想ディレクトリなど、IIS 4.0、5.0 および 6.0 のセキュリティの問題をスキャンします。また、システム管理者が IIS サーバーの構成およびセキュリティ対策を行うための IIS Lockdown ツールがコンピュータで実行されているかどうかもチェックします。IIS の各チェックの説明は、検出された問題を解決する手順と共にセキュリティ レポートに示されます。

Microsoft SQL Server

このグループのチェックでは、認証モードのタイプ、sa アカウントのパスワードのステータス、SQL サービス アカウントのメンバシップなど、SQL Server 7.0 および SQL Server 2000 のセキュリティの問題をスキャンします。SQL Server の各チェックの説明は、検出された問題を解決する手順と共にセキュリティ レポートに示されます。

デスクトップアプリケーションのチェック

このチェックでは、Internet Explorer 5.0 以降のバージョンおよび各ローカル ユーザーのゾーン設定および Office 2000、Office XP、Office System 2003 のマクロ設定について、スキャンを行います。

セキュリティ修正プログラム

MBSA では、Microsoft によって継続的に更新され、リリースされる XML (Extensible Markup Language) ファイル (mssecure.xml) を参照し、HFNetChk ツールのテクノロジを使用することによって、重要なセキュリティ修正プログラムがシステムに適用されているかどうかを調べることができます。この XML ファイルには、特定の Microsoft 製品で利用できるセキュリティ修正プログラムに関する情報が含まれています。このファイルには、セキュリティ情報の名前とタイトル、および製品固有のセキュリティ修正プログラムに関する詳細なデータが含まれています。たとえば、各更新パッケージに含まれるファイルおよびそのバージョンとチェックサム、更新のインストール パッケージによって適用されたレジストリ キー、他の更新よりも優先される更新に関する情報、関連するサポート技術情報 (Microsoft Knowledge Base) の文章番号などが含まれます。

MBSA を最初に実行するときに、このツールで各製品について入手可能なセキュリティ修正プログラムを検出できるように、この XML ファイルのコピーを取得する必要があります。(1) この XML ファイルは、Microsoft ダウンロード センターの Web サイトから圧縮された形式 (デジタル署名された .cab ファイル) で入手できます。MBSA はこの .cab ファイルをダウンロードし、署名を確認し(2)、MBSA が実行されているローカル コンピュータに .cab ファイルを展開します。.cab ファイルは .zip ファイルに似た圧縮ファイルです。

.CAB ファイルを展開した後、MBSA は使用しているコンピュータまたは選択したコンピュータをスキャンして、実行されているオペレーティング システム、サービスパック、およびプログラムを調べます。次に、MBSA は XML ファイルを解析して、インストールされているソフトウェアの組み合わせで利用可能なセキュリティ修正プログラムを識別します。MBSA は、指定されたコンピュータに特定の更新がインストールされているかどうかを調べるために、更新によってインストールされたレジストリ キー、ファイルのバージョン、および更新によってインストールされた各ファイルのチェックサム (MBSA をコマンド ラインから実行している場合) の 3 つを評価します。これらのチェックのうちのいずれかが不合格であった場合、更新はインストールされていないとスキャン レポートに示されます。

MBSA は Windows のセキュリティ修正プログラムをスキャンするだけでなく、他の製品に関連する更新もスキャンします。MBSA V1.2 によるセキュリティ修正プログラムのスキャンは、次の製品について実行できます。

  • Windows NT 4.0 (リモート スキャンのみ)

  • Windows 2000

  • Windows XP

  • Internet Explorer 5.01 以降のバージョン

  • Windows Media Player 6.4 以降のバージョン (Windows Server 2003 の Internet Explorer 6.0 を含む)

  • IIS 4.0、5.0、5.1、および 6.0

  • SQL Server 7.0 および 2000 (Microsoft Data Engine を含む)

  • Exchange Server 5.5、2000 および 2003 (Exchange Admin Tools を含む)

  • Microsoft Office (ローカル スキャンのみ。製品リストを参照ください。)

  • Microsoft Data Access Components (MDAC) 2.5、2.6、2.7 および 2.8

  • Microsoft 仮想マシン

  • MSXML 2.5、2.6、3.0 および 4.0

  • BizTalk Server 2000、2002 および 2004

  • Commerce Server 2000 および 2002

  • Content Management Server (CMS) 2001 および 2002

  • SNA Server 4.0、Host Integration Server (HIS) 2000 および 2004

MBSA の GUI バージョン (mbsa.exe) を使用する場合は、–baseline、および –nosum の各スイッチが使用されます。–baseline オプションを指定すると、Windows Update で重要なセキュリティ修正プログラムとしてマークされている更新がスキャンされます。–nosum オプションを指定すると、チェックサムのチェックが実行されません。

MBSA のコマンド ライン バージョン (mbsacli.exe) を使用する場合、上の 2 つのスイッチは既定では呼び出されないので、MBSA GUI によるスキャンの結果と同じ結果を得るにはこれらのスイッチを指定する必要があります。また、ユーザーは GUI の結果を一致させるために mbsacli.exe で /hf スイッチを使って、HFNetChk スタイルのスキャンを実行する場合にも、–baseline、-v、および -nosum のスイッチを明示的に指定することができます。

Office アップデートは MBSA GUI および Office Update Inventory Tool コードを介してのみスキャンが行われるため、HFNetChk-mode (mbsacli.exe /hf) で MBSA の実行中、Office セキュリティ アップデートがチェックされなくなることにご注意ください。

Software Update Services (SUS) 1.0 のサポート

MBSA Version 1. 2 は、ローカルの SUS 1.0 サーバーに対して、セキュリティ修正プログラムのスキャンの部分を実行するためのサポートを提供します。ユーザーは、MBSA UI または MBSA コマンド ライン インターフェイスで、このオプションを選択できます。これによって、スキャンのこの部分は、実行時にツールによってダウンロードされた mssecure.xml ファイル内の入手可能なすべてのセキュリティ修正プログラムの一覧ではなく、ローカルの SUS サーバー上にある承認されたセキュリティ修正プログラムの一覧を使って実行されます。

Systems Management Server (SMS) のサポート

SMS 2.0 Software Update Services Feature Pack は、企業顧客に対して、Windows NT 4.0、Windows 2000、および Windows XP クライアントのセキュリティ修正プログラムの管理ソリューションを提供します。Feature Pack は MBSA テクノロジを使って、クライアント コンピュータにインストールされているか、または適用可能なセキュリティ修正プログラムを自動的に、システムの実行中にスキャンします。このデータは、Systems Management Server のインベントリ情報に変換されて追加され、Web ベースのレポート機能を使って、1 ヶ所から表示できます。システム管理者は、Systems Management Server を使用して配布するための最新の Windows の修正プログラムを選択して、マイクロソフトから直接インポートできます。

Feature Pack を使用している SMS 2.0 ユーザーは、マイクロソフト サポート技術情報 822643 を参照し、この最新リリース版の MBSA を使用する Feature Pack のアップデートをインストールしてください。

ページのトップへ

スキャン モード

スキャンするコンピュータの選択

単一のコンピュータ

MBSA の最も単純な動作モードでは、単一のコンピュータをスキャンできます。このようなスキャンの典型的な例は「自己スキャン」です。[スキャンする単一のコンピュータの選択] アクションを選択すると、スキャンするコンピュータの名前または IP アドレスを入力するオプションが表示されます。既定では、このオプションをクリックすると、ツールが実行されているローカル コンピュータのコンピュータ名が表示されます。

複数のコンピュータ

[スキャンする複数のコンピュータの選択] をクリックすると、複数のコンピュータをスキャンできます。ドメイン名を入力してドメイン全体をスキャンしたり、IP アドレスの範囲を指定して、その範囲内で検出された Windows ベースのすべてのコンピュータをスキャンしたりできます。(3)

Administrator のアクセス権が必要

コンピュータをスキャンするには、Administrator のアクセス権が必要です。「自己スキャン」の場合、MBSA を実行するために使用するアカウントは、Administrator またはローカルの Administrator グループのメンバである必要があります。複数のコンピュータをスキャンする場合は、各コンピュータの管理者またはドメイン管理者である必要があります。

スキャンのタイプ

MBSA スタイルのスキャン

MBSA スタイルのスキャンでは、スキャンの結果は個々の XML ファイルに保存され、MBSA UI で表示できます (MBSA V1.1.1 と同様)。MBSA スタイルのスキャンは、MBSA GUI インターフェイス (mbsa.exe) または MBSA コマンド ライン インターフェイス (mbsacli.exe) を使って実行できます。このスキャンには、使用可能な Windows、IIS、SQL、およびセキュリティ修正プログラムのすべてのチェックが含まれています。

HFNetChk スタイルのスキャン

HFNetChk スタイルのスキャンでは、インストールされていないセキュリティ修正プログラムだけがチェックされ、スキャンの結果は、以前のスタンドアロン バージョンの HFNetChk の場合と同様に、コマンド ライン ウィンドウにテキストとして表示されます。このタイプのスキャンは、mbsacli.exe で "/hf" スイッチを指定することによって実行できます。このスイッチで、MBSA ツール エンジンに対して HFNetChk スタイルのスキャンを指定します。

セキュリティレポートの表示

MBSA スタイルのスキャンを実行するたびに、スキャンした各コンピュータについてセキュリティ レポートが生成され、MBSA を実行しているコンピュータに保存されます。これらのレポートの保存場所 (ユーザー プロファイル フォルダに保存される) は画面の上部に表示されます。セキュリティ レポートは XML 形式で保存されます。

レポートは、コンピュータ名、スキャンの日付、IP アドレス、またはセキュリティの評価項目で簡単に並べ替えることができます。この機能を使って、ある期間にわたるセキュリティ スキャンを容易に比較できます。

ネットワークスキャン

MBSA を使用してreadme ファイルに説明されたシステム要件を満たす中央コンピュータから一度に 10,000 台のコンピュータまでリモートでスキャンすることができます。MBSA は、スキャンするそれぞれのコンピュータ上でローカル管理者権限を所有するアカウントで、1 つのドメイン内で実行されるように設計されています。

ファイアウォールまたはフィルタリング ルータにより分離される 2 つのネットワーク (2 つの分離したActive Directory ドメイン) の複数のドメインの環境では、TCP ポート 139 および 445 および UDP ポート 137 および 138 を開き、MBSA がスキャンするリモート ネットワークに接続、認証を行えるようにする必要があります。

ローカライズ版のビルド / 異なる OS 言語に関するスキャン

MBSA により mssecure.cab がダウンロードされ、mssecure.xml ファイルが抽出されます。mssecure.xml ファイルにはそれぞれの製品に利用可能なセキュリティ修正プログラムのデータが含まれ、このファイルを使用し、スキャンされたコンピュータに最新のセキュリティ修正プログラムがインストールされているかどうかがチェックされます。

MBSA V1.2 は 4 つの言語にローカライズされており、異なるバージョンの製品で異なるファイル バージョンおよびチェックサムが使用されるため、それぞれの言語用に 4 つの mssecure.xml ファイルが存在します。

チェックサムのチェックは、mbsacli.exe または mbsacli.exe /hf が実行される際に行われます。チェックサムのチェックは、対象のコンピュータの OS の言語および mssecure.xml ファイルの言語が一致した場合に実行され、それらが一致しない場合、チェックサムはスキップされます。チェックサムのチェックでは、対象のコンピュータ上の修正されたファイルのバージョンがマイクロソフトに認証されたファイルであることチェックする高レベルの確認が行われます。チェックサムのチェックは、–sum スイッチにより、コマンドラインで強制的に行われるか、または –nosum スイッチにより無効にされます。

以下のリストでは、異なる言語の OS、mssecure.xml、MBSA UI を使用した場合に発生する可能性があるシナリオが説明されています。

  • 日本語のコンピュータをスキャンする MBSA の日本語バージョンがインストールされた日本語のコンピュータ

    • 日本語版の mssecure.cab ファイルのダウンロードが試行され、日本語でスキャン結果が表示される

  • 日本語版の MBSA がインストールされたフランス語のコンピュータで、フランス語のコンピュータをスキャンする

    • 結果は日本語で表示される。(日本語版の MBSA がインストールされているため) ただしそのコンピュータによって提供される情報 (例 : 日付、ファイル名など) または mssecure.xml から取得された情報はフランス語で表示される。フランス語のコンピュータがスキャンされるため、MBSA はフランス語版の mssecure.cab ファイのダウンロードを試行する。

  • ドイツ語版の MBSA がインストールされたドイツ語のコンピュータでドイツ語のコンピュータをスキャンするが、ドイツ語版の mssecure.cab ファイルをダウンロードできない場合

    • MBSA ではドイツ語版の mssecure.cab ファイルはダウンロードできないため、ローカルの MBSA フォルダで、この cab の以前にダウンロードされたバージョンを検索が試行される。そのファイルがない場合、MBSA は英語版の mssecure.cab ファイルをダウンロード、使用し、スキャンのセキュリティ修正プログラムの部分は英語版の mssecure.xml ファイルで行われる。

ページのトップへ

脆弱性のチェックの説明

Windows のチェック

Administrators グループのメンバシップ

このチェックでは、Local Administrators グループに属する個々のユーザー アカウントを識別して一覧表示します。2 つの異なる管理者アカウントが検出された場合、アカウント名が一覧表示され、潜在的な脆弱性としてマークされます。一般的に、管理者はコンピュータのすべてを制御できるので、管理者の数は最小限にすることをお勧めします。

監査

このチェックでは、スキャンしたコンピュータで監査が有効になっているかどうかを調べます。Microsoft Windows には、ログオンの成功や失敗など、システム上の特定のイベントを追跡してログに記録する監査機能が用意されています。システムのイベント ログを監視することによって、潜在的なセキュリティの問題や悪意のある活動を識別できます。

自動ログオン

このチェックでは、スキャンしたコンピュータで自動ログオン機能が有効になっているかどうか、およびログオン パスワードがレジストリ内で暗号化されているかまたはプレーンテキストで保存されているかを調べます。自動ログオンが有効であり、ログオン パスワードがプレーンテキストとして保存されている場合、セキュリティ レポートでは高いレベルの脆弱性として示されます。自動ログオンが有効であり、パスワードがレジストリ内で暗号化されている場合、セキュリティ レポートでは潜在的な脆弱性としてマークされます。

注意 : "Error Reading Registry" というメッセージが表示された場合は、リモート レジストリ サービスが有効になっていない可能性があります。

自動ログオン機能では、ユーザーのログオン名とパスワードがレジストリに保存され、ログオンのユーザー インターフェイスでユーザー名とパスワードを入力しなくても、自動的に Windows 2000 または Windows NT にログオンできます。ただし、自動ログオンを有効にすると、他のユーザーが自分のファイルにアクセスしたり、自分の名前を使ってシステムに対して悪意のある活動を行うことが可能になります。たとえば、コンピュータに物理的にアクセスできる人は誰でも、オペレーティング システムを起動して自動的にログオンできます。自動ログオンを有効にしていて、その動作を変更したくない場合は、コンピュータに機密情報を保存しないでください。コンピュータに物理的にアクセスできる人は誰でも自動ログオン機能を使用できるので、この機能は信頼できる安全な環境でのみ使用してください。

自動ログオンに使用するパスワードは、プレーンテキストとしてレジストリに保存するか、ローカル セキュリティ機関 (LSA) シークレットとして暗号化することができます。

自動更新

このチェックでは、スキャンされたコンピュータ上で自動更新機能が有効に設定されているかが識別され、自動更新機能が有効にされている場合、その構成方法が認識されます。自動更新により、マイクロソフトからの最新のアップデートを Windows Update サイト (または管理された環境の場合、ローカルの Software Update Services (SUS) サーバー) からご使用のコンピュータに直接適用し、自動的に最新の状態に保つことができます。自動更新は、Windows® 2000 SP3 またはそれ以降のバージョンを実行しているコンピュータ上で利用可能です。

自動更新では、コンピュータ上にアップデートが自動的にダウンロード、インストールされる設定、アップデートが自動的にダウンロードされ、そのインストールの前に、ユーザーに通知される設定、または、ダウンロードおよびインストールの両方の動作の前にユーザーに通知される設定のいずれかを選択することができます。

不要なサービスのチェック

このチェックでは、スキャンしたコンピュータで services.txt ファイルに記述されているサービスが有効になっているかどうかを調べます。services.txt ファイルは、スキャンしたコンピュータで実行するべきではないサービスの構成可能な一覧です。このファイルは MBSA によってインストールされ、MBSA のインストール フォルダに保存されます。services.txt ファイルは、MBSA のユーザーが構成して、スキャンする各コンピュータでチェックする特定のサービスを追加する必要があります。MBSA と共に既定でインストールされた services.txt ファイルには、次のサービスが記述されています。

MSFTPSVC (FTP)
TlntSvr (Telnet)
W3SVC (WWW)
SMTPSVC (SMTP)

サービスは、コンピュータがオペレーティング システムを実行しているときに、バックグラウンドで実行されるプログラムです。ユーザーがログオンする必要はありません。サービスは、FAX の着信を待機する FAX サービスなど、ユーザーに依存しないタスクを実行するために必要です。

ドメインコントローラ

このチェックでは、スキャンしたコンピュータがドメイン コントローラであるかどうかを識別します。

Windows Server 2003、Windows XP、Windows 2000、または Windows NT ドメインにおいて、ドメイン コントローラはドメイン ログオンを認証し、ドメインのセキュリティ ポリシーおよびセキュリティ アカウント マスタ データベースを管理するサーバーです。ドメイン コントローラは、ログオン、認証、およびディレクトリや共有リソースへのアクセスなど、ネットワークへのユーザーのアクセスを管理します。また、ドメイン コントローラは、主要な管理者アカウントを含む、すべてのドメイン ユーザー アカウントを保持します。このため、ドメイン コントローラは強力に保護する必要がある重要なリソースとして捉える必要があります。このコンピュータが本当にドメイン コントローラである必要があるかどうか、およびこのコンピュータへのアクセスをセキュリティで保護するために適切な処置を講じていることを確認してください。

ファイルシステム

このチェックでは、各ハードディスク ドライブで使用しているファイル システムを調べて、それが NTFS ファイル システムであることを確認します。NTFS はセキュリティで保護されたファイル システムで、個々のファイルやディレクトリへのアクセスを制御したり、制限したりできます。たとえば、同僚が自分のファイルを表示できるが、変更することはできないようにする場合は、NTFS で提供されるアクセス制御リスト (ACL) を使ってこのような管理を行うことができます。

注意 : このチェックを実行するには、管理者のドライブ共有を使用してドライブを共有しておく必要があります。

Guest アカウント

このチェックでは、スキャンしたコンピュータで組み込みの Guest アカウントが有効になっているかどうかを調べます。

Guest アカウントは、ユーザーがコンピュータやドメイン、またはコンピュータのドメインによって信頼されたドメインにアカウントを持っていない場合に、Windows Server 2003、Windows 2000 または Windows NT を実行するコンピュータにログオンするために使用される組み込みのアカウントです。単純なファイル共有を使用している Windows XP コンピュータでは、ネットワークからのユーザーの接続はすべて、セキュリティ モデルの一部として Guest アカウントにマッピングされます。Windows NT、Windows 2000、および単純なファイル共有を使用しない Windows XP コンピュータ、または Windows Server 2003 で Guest アカウントが有効になっている場合、セキュリティ レポートでは脆弱性としてマークされます。単純なファイル共有を使用する Windows XP コンピュータで Guest アカウントが有効になっている場合は、脆弱性としてマークされません。

インターネット接続ファイアウォール

このチェックでは、インターネット接続ファイアウォール (ICF) がスキャンされたコンピュータ上ですべてのアクティブなネットワーク接続で有効にされているか (Windows XP および Windows Server 2003 向け)、すべての静的な受信ポートがファイアウォールで開かれているかを識別します。ICF は、ご使用のコンピュータおよびインターネットまたはネットワーク上の他のコンピュータから通信する情報を制御し、コンピュータを保護するファイアウォール ソフトウェアです。ICF は Windows® XP および Windows Server 2003 Standard Edition および Enterprise Edition に含まれています。

ローカルアカウントのパスワード

このチェックでは、空白または簡単なパスワードを使用しているローカル ユーザー アカウントを識別します。このチェックは、ドメイン コントローラについては実行されません。セキュリティ対策として、Windows Server 2003、Windows XP、Windows 2000、および Windows NT オペレーティング システムはすべて、パスワードによるユーザー認証を要求します。ただし、システムのセキュリティは、テクノロジとポリシー、つまりシステムをセットアップおよび管理する方法の両方によって決まります。このチェックでは、すべてのユーザー アカウントを列挙し、次のようなパスワードをチェックします。

  • パスワードが空白である。

  • パスワードがユーザー アカウント名と同じである。

  • パスワードがコンピュータ名と同じである。

  • パスワードが "password" という単語である。

  • パスワードが "admin" または "administrator" という単語である。

  • このチェックでは、無効になっているアカウントや、現在ロック アウトされているアカウントも通知します。

MBSA は上記のようなパスワードを使用して、ターゲット コンピュータ上でパスワードの変更を試みます。この操作が成功した場合は、アカウントがそのパスワードを使用していることを意味します。MBSA はこのようなパスワードを完全にリセットまたは変更するわけではなく、パスワードが単純であることをレポートします。

このチェックは、コンピュータ上のユーザー アカウントの数によって、長時間かかる場合があります。システム管理者は、ネットワーク上のドメイン コントローラをスキャンする前にこのチェックを無効にしたほうがよい場合があります。

注意 コンピュータで監査が有効になっている場合、このチェックを実行すると、セキュリティ ログにイベント ログ エントリが生成されることがあります。

オペレーティングシステムのバージョン

このチェックでは、スキャンしたコンピュータで実行されているオペレーティング システムを調べます。 Windows Server 2003、Windows XP および Windows 2000 では、ファイル アクセス許可の細かい制御など、作業の信頼性および可用性が向上しています。

パスワードの有効期限

このチェックでは、ローカル ユーザー アカウントのパスワードの有効期限が無期限になっていないかどうかを調べます。

匿名ユーザーは、ユーザー名と詳細、アカウント ポリシー、および共有名など、特定のタイプのシステム情報を一覧表示できます。この機能を制限し、匿名ユーザーが情報にアクセスできないようにすることによって、セキュリティを強化することができます。

匿名ユーザーの制限

このチェックでは、スキャンしたコンピュータで、RestrictAnonymous レジストリ キーを使って匿名接続が制限されているかどうかを調べます。

匿名ユーザーは、ユーザー名と詳細、アカウント ポリシー、および共有名など、特定のタイプのシステム情報を一覧表示できます。この機能を制限し、匿名ユーザーが情報にアクセスできないようにすることによって、セキュリティを強化することができます。

共有

このチェックでは、スキャンしたコンピュータに共有フォルダがあるかどうかを調べます。スキャン レポートには、管理用共有リソースを含む、コンピュータ上のすべての共有が、その共有レベルおよび NTFS レベルのアクセス許可と共に一覧表示されます。

必要な場合以外は共有を無効にするか、共有レベルまたは NTFS レベルのアクセス許可によって特定のユーザーのアクセスを制限して共有をセキュリティで保護する必要があります。

IIS のチェック

IIS 上の MSADC および Scripts 仮想ディレクトリ

このチェックでは、スキャンした IIS (Internet Information Services) コンピュータに MSADC (サンプル データ アクセス スクリプト) および Scripts 仮想ディレクトリがインストールされているかどうかを調べます。これらのディレクトリには、通常、スクリプトが保存されていますが、コンピュータに対する攻撃の可能性を低くするために、不要な場合は削除することをお勧めします。

IIS Lockdown ツールは、この機能のように、IIS 4.0、5.0、5.1、および 6.0 で不要な機能を無効にして、システムが攻撃にさらされる危険性を小さくします。

IISADMPWD 仮想ディレクトリ

このチェックでは、スキャンしたコンピュータに IISADMPWD ディレクトリがインストールされているかどうかを調べます。IIS 4.0 を使用すると、ユーザーが Windows のパスワードを変更したり、パスワードの有効期限が迫っていることをユーザーに通知したりできます。IIS 4.0 の既定の Web サイトの一部としてインストールされる IISADMPWD 仮想ディレクトリには、この機能で使用されるファイルが格納されています。この機能は、\System32\Inetsrv\Iisadmpwd ディレクトリの .htr ファイルのセットおよび Ism.dll という名前の ISAPI 拡張機能として実装されます。

ドメインコントローラ上の IIS

このチェックでは、ドメイン コントローラであるシステム上で IIS (Internet Information Services) が実行されているかどうかを調べます。スキャンしたコンピュータが Small Business Server ではない場合、スキャン レポートでは高いレベルの脆弱性としてマークされます。

ドメイン コントローラでは IIS Web サーバーを実行しないことをお勧めします。ドメイン コントローラには、ユーザー アカウント情報などの機密データが保存されており、ドメイン コントローラを別の役割で使用するべきではありません。ドメイン コントローラ上で Web サーバーを実行している場合、サーバーのセキュリティ保護および攻撃の防御に関する作業が複雑になります。

IIS Lockdown ツール

このチェックでは、スキャンしたコンピュータで、Microsoft Security Tool Kit の一部として、バージョン 2.1 の IIS Lockdown ツールが実行されているかどうかを調べます。IIS Lockdown ツールは、IIS で不要な機能を無効にして、攻撃者が利用できる攻撃の糸口を少なくします。

IIS 6.0 では既定でロックダウンが行われるため、IIS Lockdown ツールは Windows Server 2003 の新規のインストールでインストールされる IIS 6.0 には必要ではありません。(IIS のロールを構成する際に、IIS の管理者がサービスを明示的に有効にする必要があります。) IIS 5.0 のインストールから IIS 6.0 にアップグレードを行うには、IIS Lockdown を使用して、サーバー上で必要なサービスのみを有効にする必要があります。

IIS ログの記録

このチェックでは、IIS (Internet Information Services) のログの記録が有効になっているかどうか、および W3C 拡張ログ ファイル形式が使用されているかどうかを調べます。

IIS ログ機能は、Windows のイベント ログ機能やパフォーマンス モニタ機能にはない機能も提供します。ログには、サイトにアクセスした閲覧者、閲覧者が表示した内容、情報が表示された最終時刻などの情報が記録されます。Web サイト、仮想フォルダ、またはファイルに対する成功および失敗したアクセスの試行を監視できます。これには、ファイルの読み取りやファイルへの書き込みなどのイベントも含まれます。サイト、仮想フォルダ、またはファイルについて、監査するイベントを選択できます。これらのファイルを定期的に検討することによって、サイトやサーバーにおいて、攻撃の対象やその他のセキュリティの問題になり得る領域を検出できます。個々の Web サイトのログの記録を有効にして、そのログ形式を選択できます。ログの記録を有効にすると、サイトのすべてのフォルダについて有効になりますが、特定のディレクトリについてログの規則を無効にすることができます。

IIS の親パス

このチェックでは、スキャンしたコンピュータで ASPEnableParentPaths 設定が有効になっているかどうかを調べます。IIS で親パスを有効にすることによって、ASP (Active Server Pages) ページで、現在のディレクトリの親ディレクトリへの相対パス、つまり .. 構文を使うパスを使用できます。

IIS サンプルアプリケーション

このチェックでは、次の IIS サンプル ファイル ディレクトリがコンピュータにインストールされているかどうかを調べます。

\Inetpub\iissamples

\Winnt\help\iishelp

\Program Files\common files\system\msadc

通常、IIS と共にインストールされるこれらのサンプル アプリケーションは、ダイナミック HTML (DHTML) および ASP (Active Server Pages) スクリプト機能を示し、オンライン ドキュメントを提供するものです。

SQL のチェック

MBSA V1.2 は、スキャンしたコンピュータ上の SQL Server および MSDE のインスタンスに対してスキャンを行います。

Sysadmin ロールのメンバ

このチェックでは、Sysadmin ロールのメンバの数を調べて、セキュリティ レポートにその結果を示します。

SQL Server のロールは、同じ操作を実行する権利を持つログインをグループ化するために使用されます。固定サーバー ロールである Sysadmin は、そのすべてのメンバにシステム管理者の権利を付与します。

注意 : "No permissions to access database" というエラー メッセージが表示された場合は、MASTER データベースに対するアクセス許可が付与されていない可能性があります。

Sysadmin のみへの CmdExec 権利の制限

このチェックでは、CmdExec 権利が Sysadmin だけに制限されていることを確認します。CmdExec 権利を持つその他のすべてのアカウントがセキュリティ レポートに示されます。

SQL Server Agent は、Windows XP、Windows 2000、および Windows NT 上で利用可能なサービスで、ジョブの実行、SQL Server の監視、および警告の送信を行います。SQL Server Agent によって、スクリプト化したジョブ ステップを使用して、特定の管理タスクを自動化できます。ジョブは、SQL Server Agent によって順に実行される、指定された一連の操作です。ジョブを使って、Transact-SQL スクリプト、コマンド ライン アプリケーション、および Microsoft ActiveX スクリプトの実行など、さまざまな作業を実行できます。ジョブを作成して頻繁に反復または予定されるタスクを実行したり、警告を生成することによってジョブのステータスを自動的にユーザーに通知したりできます。

SQL Server のローカルアカウントのパスワード

このチェックでは、SQL Server のローカル アカウントに、空白のパスワードなどの単純なパスワードが設定されていないかどうかを調べます。このチェックでは、すべてのユーザー アカウントを列挙し、次のようなパスワードをチェックします。

  • パスワードが空白である。

  • パスワードがユーザー アカウント名と同じである。

  • パスワードがコンピュータ名と同じである。

  • パスワードが "password" という単語である。

  • パスワードが "sa" という単語である。

  • パスワードが "admin" または "administrator" という単語である。

  • このチェックでは、無効になっているアカウントや、現在ロック アウトされているアカウントも通知します。

SQL Server の認証モード

このチェックでは、スキャンしている SQL Server で使用されている認証モードを調べます。

Microsoft SQL Server では、サーバーへのアクセスをセキュリティで保護するために、Windows 認証モードと混合モードの 2 つのモードを用意しています。

Windows 認証モードでは、Microsoft SQL Server はユーザーの Windows 認証だけを使用します。Windows ユーザーまたはグループには、SQL Server へのアクセス権が付与されます。混合モードでは、ユーザーは Windows または SQL Server によって認証されます。SQL Server によって認証されたユーザーのユーザー名とパスワードのペアは、SQL Server 内に保存されます。Microsoft では、常に Windows 認証モードを使用することを強くお勧めします。

Windows 認証モード

このセキュリティ モードでは、SQL Server は Windows を使用して、他のアプリケーションと同様の方法でユーザーを認証します。このモードを使用するサーバーへの接続は、信頼された接続と呼ばれます。

Windows 認証モードを使用する場合、データベース管理者は、SQL Server にログオンする権利をユーザーに付与することによって、SQL Server を実行するコンピュータへのアクセスをユーザーに許可します。Windows セキュリティ識別子 (SID) を使って、Windows で認証されたユーザーを追跡します。Windows SID を使用するので、データベース管理者は Windows ユーザーまたはグループに直接アクセス権を付与できます。

混合モード

SQL Server の混合モードでは、クライアントおよびサーバーが NTLM または Kerberos ログオン認証プロトコルを使用できる場合に、 Windows を使用してユーザーを認証します。どちら側も標準的な Windows ログオンを使用できない場合、SQL Server はユーザー名とパスワードのペアを要求し、このペアをシステム テーブルに保存されているものと比較します。ユーザー名とパスワードのペアを使用する接続は、信頼されていない接続と呼ばれます。

混合モードは、1) SQL Serverの以前のバージョンとの後方互換性、および 2) SQL Server が Windows 95 および Windows 98 オペレーティング システムにインストールされている場合の互換性の 2 つの理由で提供されています。Windows 95 または Windows 98 ベースのコンピュータをサーバーとして実行する場合、信頼された接続はサポートされていません。

SQL Server Sysadmin ロール内の BUILTIN\Administrators

このチェックでは、組み込みの Administrators グループが Sysadmin ロールのメンバとして含まれているかどうかを調べます。

注意 : "No permissions to access database" というエラー メッセージが表示された場合は、MASTER データベースに対するアクセス許可が付与されていない可能性があります。

SQL Server のロールは、他のセキュリティ アカウントの集合であるセキュリティ アカウントです。ロールはアクセス許可を管理するときに 1 つの単位として扱うことができます。ロールには、SQL Server のログオン アクセス許可、その他のロール、および Windows のユーザー アカウントまたはグループを含めることができます。

固定サーバー ロールのスコープはサーバー全体です。固定サーバー ロールはデータベースの外部に存在します。固定サーバー ロールの各メンバは、同じロールに他のログインを追加できます。Windows BUILTIN\Administrators グループ (ローカル システム管理者のグループ) のすべてのメンバは、既定では sysadmin ロールのメンバで、すべてのデータベースへのフル アクセスが許可されています。

SQL Server のディレクトリへのアクセス

このチェックでは、次の SQL Server のディレクトリへのアクセスが、SQL サービス アカウントとローカルの Administrators だけに制限されていることを確認します。

  • Program Files\Microsoft SQL Server\MSSQL$InstanceName\Binn

  • Program Files\Microsoft SQL Server\MSSQL$InstanceName\Data

  • Program Files\Microsoft SQL Server\MSSQL\Binn

  • Program Files\Microsoft SQL Server\MSSQL\Data

このツールは、これらの各フォルダのアクセス制御リスト (ACL) をスキャンし、ACL に含まれるユーザーを列挙します。SQL サービス アカウントおよび Administrators 以外の他のユーザーがこれらのフォルダに対して読み取りまたは変更のアクセス権を持っている場合、セキュリティ レポートではこの点が脆弱性としてマークされます。

SQL Server の公開された sa アカウントのパスワード

このチェックでは、SQL 7.0 SP1、SP2、または SP3 の sa アカウントのパスワードが、setup.iss ファイルおよび %windir% ディレクトリと %windir%\%temp% ディレクトリの sqlstp.log\sqlspX.log ファイルにプレーンテキストで書き込まれているかどうかを調べます。また、SQL 2000 上で、SQL Server サービスの開始時にドメインの資格情報が使用されている場合は、splstp.log\sqlspX.log ファイルもチェックされます。

SQL Server のセットアップ時に混合モードの認証を使用していた場合、SQL Server 7.0 SP1、SP2、および SP3 では、sa のパスワードが、プレーンテキスト形式で setup.iss および sqlstp.log ファイルに保存されます。システム管理者が Windows 認証モード (推奨モード) を使用している場合、資格情報が危険にさらされるのは、SQL Server サービスを自動的に開始するときに、ドメインの資格情報を使用する場合だけです。

SQL Server Guest アカウント

このチェックでは、SQL Server の Guest アカウントが、master、tempdb、および msdb 以外のデータベースへのアクセス権を持っているかどうかを調べます。このアカウントがアクセス権を持っているすべてのデータベースがセキュリティ レポートに表示されます。

注意 : "No permissions to access database" というエラー メッセージが表示された場合は、MASTER データベースに対するアクセス許可が付与されていない可能性があります。

SQL Server では、ユーザーのログオン アカウントは次のいずれかの方法でデータベースとそのオブジェクトへのアクセスを許可されている必要があります。

  • ログオン アカウントをデータベース ユーザーとして指定できます。

  • ログオン アカウントはデータベース内で guest アカウントを使用できます。

  • Windows のグループ ログオンをデータベースのロールにマッピングできます。これによって、そのグループのメンバである個々の Windows アカウントが、データベースに接続できます。

db_owner または db_accessadmin データベース ロール、または Sysadmin 固定サーバー ロールのメンバは、データベース ユーザー アカウントのロールを作成できます。アカウントには、SQL Server のログオン ID、データベース ユーザー名 (オプション)、および 1 つのロール名 (オプション) など、複数のパラメータを含めることができます。データベース ユーザー名は、ユーザーのログオン ID と同じである必要はありません。データベース ユーザー名を指定しない場合、ユーザーのログオン ID とデータベース ユーザー名は同じです。データベース ユーザーを作成した後、そのユーザーを必要な数のロールに割り当てることができます。ロール名を指定しない場合、データベース ユーザーは public ロールのみのメンバになります。

db_owner、db_accessadmin、または sysadmin ロールのメンバは、guest アカウントを作成することもできます。guest アカウントによって、有効な SQL Server ログイン アカウントは、データベース ユーザー アカウントがなくてもデータベースにアクセスできます。既定では、guest アカウントは、public ロールに割り当てられた特権を継承しますが、この特権を public ロールの権限よりも高くしたり、低くしたりすることができます。

ドメインコントローラ上の SQL Server

このチェックでは、SQL Server が、ドメイン コントローラであるシステム上で実行されているかどうかを調べます。ドメイン コントローラ上では SQL Server を実行しないことをお勧めします。ドメイン コントローラには、ユーザー アカウント情報などの機密データが保存されており、ドメイン コントローラを別の役割で使用するべきではありません。ドメイン コントローラ上で SQL Server データベースを実行している場合、サーバーのセキュリティ保護および攻撃の防御に関する作業が複雑になります。

SQL Server のレジストリキーのセキュリティ

このチェックでは、Everyone グループに、次のレジストリ キーに対する読み取りアクセス許可だけが付与されていることを確認します。

HKLM\Software\Microsoft\Microsoft SQL Server
HKLM\Software\Microsoft\MSSQLServer

Everyone グループがこれらのキーに対して読み取りアクセス許可以上のアクセス許可を持っている場合、セキュリティ スキャン レポートで高レベルの脆弱性としてマークされます。

SQL Server サービスアカウント

このチェックでは、SQL Server サービス アカウントが、スキャンしたコンピュータのローカル Administrators グループまたは Domain Administrators グループのメンバであるかどうか、つまりすべての SQL Server サービス アカウントが LocalSystem コンテキストで実行されているかどうかを調べます。

スキャンしたコンピュータ上の MSSQLServer および SQLServerAgent サービス アカウントがチェックされます。

注意 : "No permissions to access database" というエラー メッセージが表示された場合は、MASTER データベースに対するアクセス許可が付与されていない可能性があります。

セキュリティ修正プログラムのチェック

サービスパックは、Microsoft 製品に関して顧客から報告されたさまざまな問題に焦点を当てた、テスト済みの更新を集めたものです。サービスパックは、通常、製品が一般に提供されるようになってからの製品に関する問題を修正します。サービスパックは累積的であり、新しいサービスパックには、以前のサービスパックに含まれていたすべての修正プログラムと、新しい修正プログラムが含まれています。サービスパックは、プラットフォームと新しくリリースされたソフトウェアやドライバとの互換性を維持するように設計され、顧客や社内テストによって見つかった問題を修正する更新が含まれています。

一方、セキュリティ修正プログラムは、通常、特定のバグやセキュリティの脆弱性を解決する暫定的な更新です。サービスパックの発行期間内に提供されたセキュリティ修正プログラムはすべて、それ以降のサービスパックに包含されます。このツールで識別される各セキュリティ修正プログラムには、修正プログラムの詳細を示す Microsoft セキュリティ情報が関連付けられています。このチェックの結果によって、インストールされていないセキュリティ修正プログラムが識別され、各セキュリティ情報の詳細を示す Microsoft の Web サイトへのリンクが提供されます。

このツールは、次の製品およびコンポーネントについて、最新のサービスパックおよびセキュリティ修正プログラムがインストールされているかどうかをチェックします。

  • Windows NT 4.0 (リモート スキャンのみ)

  • Windows 2000

  • Windows XP

  • Windows Server 2003

  • Internet Explorer 5.01 以降のバージョン (Windows Server 2003 の Internet Explorer 6.0 を含む)

  • Windows Media Player 6.4 以降のバージョン

  • IIS 4.0、5.0、5.1、および 6.0

  • SQL Server 7.0 および 2000 (Microsoft Data Engine を含む)

  • Exchange Server 5.5、2000 および 2003 (Exchange Admin Tools を含む)

  • Microsoft Office (ローカル スキャンのみ。製品リストを参照ください。)

  • Microsoft Data Access Components (MDAC) 2.5、2.6、2.7 および 2.8

  • Microsoft 仮想マシン

  • MSXML 2.5、2.6、3.0 および 4.0

  • BizTalk Server 2000、2002 および 2004

  • Commerce Server 2000 および 2002

  • Content Management Server (CMS) 2001 および 2002

  • SNA Server 4.0、Host Integration Server (HIS) 2000 および 2004

デスクトップアプリケーションのチェック

Internet Explorer のセキュリティゾーン

このチェックでは、スキャンしたコンピュータの各ローカル ユーザーについて、IE のゾーンの現在のセキュリティ設定と推奨されるセキュリティ設定を一覧表示します。

注意 : カスタム設定したゾーンは、ツールで推奨された設定よりも安全である場合があります。このツールでは、各ゾーンについてカスタム設定が使用されていることはレポートされますが、カスタム設定が推奨される設定よりも安全であるかどうかを調べることはできません。

Microsoft Internet Explorer の Web コンテンツのゾーンは、インターネットやイントラネットをセキュリティのレベルが異なるゾーンに分割します。この機能によって、ブラウザの全体的な既定の設定を行い、信頼済みサイトのすべてのコンテンツを許可したり、Web サイトによって Java アプレットや Activex® コントロールなどの特定のタイプのコンテンツを拒否したりできます。

Internet Explorer ブラウザ ソフトウェアでは、インターネット、イントラネット、信頼済みサイト、制限付きサイトの 4 つの Web コンテンツ ゾーンがあらかじめ定義されています。[インターネット オプション]ダイアログ ボックスで、各ゾーンで必要なセキュリティ オプションを設定し、サイトの信頼度に応じて、インターネット以外の各ゾーンにサイトを追加したり、サイトを削除したりできます。企業環境では、システム管理者がユーザーのゾーンを設定できます。また、ソフトウェア発行者の証明書で信頼するものと、信頼しないものをあらかじめ追加または削除し、ユーザーがインターネットの使用中にセキュリティ上の決定を行う必要がないようにすることができます。

各セキュリティ ゾーンについて、[高]、[中]、[低]、[カスタム] のいずれかのセキュリティ設定を選択できます。Microsoft では、信頼性が不明確なゾーンのサイトについてはこの設定を [高] にすることをお勧めします。知識のあるユーザーやシステム管理者は、[カスタム] を選択することによって、次のような項目を含む、すべてのセキュリティ オプションを細かく制御できます。

  • ファイル、ActiveX コントロール、およびスクリプトへのアクセス

    Java アプレットに許可する機能のレベル

    SSL (Secure Socket Layer) 認証によるサイトの識別情報の指定

    NTLM 認証によるパスワードの保護 (サーバーが含まれるゾーンに応じて、Internet Explorer が自動的にパスワードを送信できるようにするか、ユーザーおよびパスワード情報の入力をユーザーに求めるか、単にログオン要求を拒否します)

管理者向けの Internet Explorer セキュリティ強化の構成

このチェックでは、Microsoft® Windows® Server 2003 を実行しているコンピュータ上で管理者向け Internet Explorer セキュリティ強化の構成が有効にされているかどうかを識別します。管理者向け Internet Explorer セキュリティ強化の構成がインストールされている場合、このチェックにより、Internet Explorer セキュリティ強化の構成を無効に設定している管理者も識別されます。

非管理者向けの Internet Explorer セキュリティ強化の構成

このチェックにより、管理者以外のユーザーが Microsoft® Windows® Server 2003 を実行しているコンピュータ上で [Internet Explorer セキュリティ強化の構成] を有効にしているかどうかが識別されます。非管理者向けの [Internet Explorer セキュリティ強化の構成] がインストールされている場合、このチェックにより、[Internet Explorer セキュリティ強化の構成] を無効にしている管理者以外のユーザーも確認されます。

Office のマクロの保護

このチェックでは、ユーザーごとに、Microsoft Office XP、Office 2000、および Office 97 のマクロの保護に関するセキュリティ レベルを調べます。PowerPoint、Word、Excel、Outlook のすべてが MBSA によってチェックされます。

マクロを使うと反復的な作業を自動化できます。マクロは時間を節約するためのツールですが、ユーザーが悪意のあるマクロを含むドキュメントを開いたときにウイルスを媒介するようにマクロが使われる場合があります。ウイルスに感染したドキュメントを開いたり、共有したりすると、悪意のあるマクロがシステムの他のドキュメントや他のユーザーにも広がる可能性があります。

ページのトップへ

その他のリソース

  • Microsoft のセキュリティ戦略とソリューション

  • Microsoft セキュリティ Web サイト

  • MBSA Web サイト

  • 企業セキュリティのベスト プラクティス

  • Microsoft セキュリティ センターのセキュリティ情報の深刻度評価システム

Microsoft セキュリティソリューションのパートナー

Microsoft 認定プロバイダのディレクトリ
https://mcspreferral.microsoft.com/

Microsoft コンサルティング サービス
https://www.microsoft.com/japan/consulting/

(1) MBSA を実行するたびに、このツールはインターネットに接続して Microsoft のサイトから CAB/XML ファイルをダウンロードしようとします。インターネットに接続できない場合、このツールはツールのインストール フォルダにある CAB/XML ファイルのローカル コピーを参照します。スキャン中にファイルが正常にダウンロードされるたびに、それ以降のスキャンでインターネットに接続できなかったときのために、ローカル コピーがコンピュータ上に保存されます。それ以外の場合で、インターネットに接続したことがないコンピュータについては、Microsoft ダウンロード センターのサイトから別にこのファイルをダウンロードして、ツールを実行しているコンピュータにコピーできます。

(2) この .CAB ファイルは Microsoft Corporation によってデジタル署名されています。MBSA ツールはデジタル署名を調べて、ファイルの信憑性およびファイルが偽のファイルや壊れたファイルに置換されていないことを確認します。

(3) MBSA スタイルのスキャンで、ドメインまたは IP アドレスの範囲を指定した場合、MBSA はそのグループ内の各コンピュータのアカウントを確認しようとします。このツールは、確認できなかったコンピュータを一覧表示し、応答するコンピュータのスキャンを続行します。HFNetChk スタイルのスキャンでは、HFNetChk エンジンは各コンピュータでスキャンに必要な 2 つの IP ポートを検索し、これらのポートにアクセスできない場合はスキャンに失敗します。このスキャン前のチェックでは ICMP は使用できません。

© 2004 Microsoft® Corporation. All rights reserved.

このドキュメントに記載されている情報は、このドキュメントの発行時点におけるマイクロソフトの見解を反映したものです。変化する市場状況に対応する必要があるため、このドキュメントは、記載された内容の実現に関するマイクロソフトの確約とはみなされないものとします。また、発行以降に発表される情報の正確性に関して、マイクロソフトはいかなる保証もいたしません。

このホワイト ペーパーに記載された内容は情報提供のみを目的としており、明示または黙示に関わらず、これらの情報についてマイクロソフトはいかなる責任も負わないものとします。

お客様ご自身の責任において、適用されるすべての著作権関連法規に従ったご使用を願います。このドキュメントのいかなる部分も、米国 Microsoft Corporation の書面による許諾を受けることなく、その目的を問わず、どのような形態であっても、検索システムへの格納または公開、複製または譲渡することは禁じられています。ここでいう形態とは、複写や記録など、電子的または物理的なすべての手段を含みます。ただしこれは、著作権法上のお客様の権利を制限するものではありません。

マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の無体財産権を有する場合があります。別途マイクロソフトのライセンス契約上に明示の規定のない限り、このドキュメントはこれらの特許、商標、著作権、またはその他の無体財産権に関する権利をお客様に許諾するものではありません。

Microsoft、ActiveX、Windows、Windows のロゴ、および Windows NT は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。

記載されている会社名、製品名には、各社の商標のものもあります。

ページのトップへ