公用程式焦點Microsoft Security Assessment Tool

Lance Whitney

下載本文程式碼: Microsoft Security Assessment Tool 3.0 (只有英文版) (10547.2KB)

尋找 網路安全性問題並不容易，而且曠日費時。您可以利用工具幫助您識別和消除安全性風險，其中一個工具就是 Microsoft® Security Assessment Tool (MSAT)，這個免費的公用程式會提供電子問卷調查，要求您說明您的安全性環境。MSAT 是針對擁有 50 到 500 部電腦的中型企業所設計，它提出 172 道問題，並將問題分門別類，然後分析您的情況，並且提出改善的建議方案。

MSAT 一開始先針對您的商業模型提出一組查詢問題，再利用這些問題建立商業風險概況 (BRP)，與業界其他公司比較，評估您的安全性風險。問卷調查通常花兩個小時完成，您可以隨時停止和繼續進行。下面是範例問題的分類：

基本資訊 貴公司有多少部用戶端和伺服器？

基礎結構安全性 您的員工是在遠端工作嗎？外包人員會存取您的網路嗎？

應用程式安全性 貴公司開發應用程式嗎？它會儲存您應用程式所處理的機密資料嗎？

營運安全性 貴公司的公司網路連接外部網路嗎？貴公司接收外部廠商提供的資料嗎？

人員安全性 貴公司將電腦維護工作外包出去嗎？您容許員工下載公司機密資料到他們的工作站嗎？

環境 貴公司有多少位員工？您的 IT 部門員工流動率高嗎？

接下來 MSAT 會產生一份評估，這份評估是使用一種稱為深度防禦指數 (DiDI) 的測量方式，著重您手邊的安全性程序。下面是使用相同分類的一般問題：貴公司在每一個地方都安裝防火牆嗎？您在您的 Microsoft Office 應用程式使用自訂巨集嗎？您的使用者在他們的工作站上具有管理權限嗎？您有設立原則將補充程式和更新部署到電腦上嗎？

MSAT 提供下列三份報告來回應您的答案。摘要報告是以長條圖顯示結果。 BRP 分數高表示風險高，DiDI 分數高則表示安全性高。雖然，根據 MSAT 表示，低 BRP 與高 DiDI 似乎代表結果較為樂觀，但您還是要檢查個別的區域。因此，「完整報告」會針對每一個區域，指出您是否符合最佳作法、是否需要改進，或者是否嚴重缺乏安全性 (見 [圖 1])。

Figure 1** The complete report **(按影像可放大)

最後，「比較報告」會要求您以匿名方式，將結果上傳到安全的 MSAT 網站，讓您比較您與其他公司的結果。

您可以從 Microsoft 資訊安全指導中心網站 (網址為 securityguidance.com) 或從 TechNet Magazine 網站 (網址為 technetmagazine.com/code07.aspx) 下載此工具。

Lance Whitney 身兼 IT 顧問、培訓講師和技術文件作家。他投入許多時間改良 Windows 工作站與伺服器。記者出身的 Lance 在 15 年前一頭栽進 IT 產業。

© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利；未經允許，嚴禁部分或全部複製.