Viele Firmen scheuen den Einsatz von Überwachungs-Software, um die Konfiguration und Aktualität Ihrer Betriebssysteme und Applikationen zu überprüfen, da entsprechende Tools relativ teuer in Anschaffung und Unterhalt sind. Microsoft bietet hier schon seit Jahren kostenlose Tools an, um dieses Problem (zumindest teilweise) zu lösen. Hierbei handelt es sich um den sogenannten Microsoft Baseline Security Analyzer (MBSA).

Was kann denn MBSA nun leisten? Die Software erlaubt, aktuelle Windows-Betriebssysteme und einige ausgewählte Applikationen zu prüfen. Die Prüfung umfasst dabei in der Regel den aktuellen Patch-Stand sowie grundsätzliche Konfigurations-Probleme. Das Tool kann sowohl mittels einer graphischen Oberfläche als auch mittels Kommandozeile genutzt werden. Grundsätzlich ist MBSA für den Einsatz auf einer lokalen Maschine ausgelegt. Das Tool wird also lokal gestartet und das Ergebnis dann lokal ausgewertet. Es besteht allerdings auch die Option, ein Remote-System zu überprüfen. Dazu muss auf der Kommandozeile Username und Passwort des Remote-Systems angegeben werden. Dies setzt natürlich voraus, dass die Sicherheitseinstellungen auf dem Remote System sowie die Konfiguration von Network Security Devices (Firewalls, IPS …) einen direkten Zugriff erlauben. Hier beginnen dann allerdings auch die Probleme, da Username und Passwort jeweils im Klartext auf der Kommandozeile angegeben werden müssen. Der verwendete Account muss Administrator-Rechte auf dem Zielsystem haben. Ein automatisierter Aufruf ist zwar mittels eines kleinen Skripts problemlos möglich, allerdings muss man sich im klaren sein, dass bei einem erfolgreichen Angriff auf das Scan-System alle Usernamen und Passwörter der Administrator-Accounts der Zielsysteme im Klartext verfügbar sind. Dies macht es nötig, das Scan-System maximal zu härten, ebenso sollte eine Mehrfachnutzung des Systems für andere Applikationen (E-Mail Server, Fileserver …) unterbleiben. Dies sollte im Zeitalter von Hyper-V allerdings kein großes Problem darstellen.

MBSA erzeugt für jedes Zielsystem pro Durchlauf einen Report. Dieser kann mit der MBSA GUI betrachtet werden. Der Report wird im XML-Format erzeugt, so dass auch ein eigener Parser erstellt werden kann, um die Ergebnisse systematisch auszuwerten und in einer Datenbank zu speichern. Bei Nutzung der MBSA GUI zur Analyse stößt man auch schnell an die Grenzen des Systems, da man damit jeden einzelnen Report manuell auswerten muss. Es stehen auch keine Optionen zum Vergleich von zwei Reports zur Verfügung, um zu ermitteln, was sich seit dem letzten Scan geändert hat.

Wem der Funktionsumfang von MBSA nicht genügt, kann das kostenlose Tool Shavlik NetChk Limited nutzen, das zusätzliche Applikationen unterstützt. Das Tool wird parallel zu MBSA installiert, die Auswertung der XML Reports kann innerhalb der MBSA GUI erfolgen. Jedoch ist auch mit Shavlik NetChk Limited eine vollständige Abdeckung aller Applikationen nicht möglich. Dies gilt allerdings auch für beliebige kommerzielle Produkte.

Summa summarum lässt sich sagen, dass MBSA (und Shavlik NetChk Limited) die Möglichkeit bieten, für Microsoft Betriebssysteme und bestimmte ausgewählte  Applikationen eine Basis-Sicherheitsprüfung mit relativ geringem Aufwand zu implementieren. Der Einsatz mit Auswertung über die GUI lässt sich allerdings nur für kleinere Netzwerke empfehlen, da die manuelle Auswertung umständlich ist und bei größeren Server-Zahlen nicht skaliert. Dies lässt sich zwar beseitigen, indem man die XML-Reports auswertet und in eine Datenbank bzw. in ein SIEM System importiert, allerdings verliert dann dass Argument zum Einsatz eines “kostenlosen Tools” schnell an Überzeugungskraft, da die Aufwände für Customizing nicht unerheblich sind.