Skip to content

Microsoft Baseline Security Analyzer

MCSE Zur Identifizierung bekannter fehlerhafter Sicherheitskonfigurationen hat Microsoft das Tool Microsoft Baseline Security Analyzer (MBSA) entwickelt. Das Tool muss aus dem Internet heruntergeladen werden. Es ist nur verfügbar für Benutzer von Original-Microsoft Windows und erfordert die Windows-Gültigkeitsprüfung. Danach kann es einfach als Applikation installiert werden:
Microsoft Baseline Security Analyzer Setup Installation

MBSA beinhaltet eine grafische Oberfläche sowie eine Befehlszeilenschnittstelle "mbsacli.exe", über die lokal oder remote Scans von Windows-Systemen durchgeführt werden können.
MBSA Computer auswählen

MBSA kann auf Windows Server 2003-, Windows 2000- und Windows XP-Systemen ausgeführt und für Scans nach bekannten fehlerhaften Sicherheitskonfigurationen verwendet werden, es scannt außerdem nach fehlenden Sicherheitsupdates, Updaterollups und Service Packs, die auf Microsoft Update bereitgestellt werden.
Microsoft Baseline Security Analyzer

Man kann damit Fragen beantworten wie: Bestehen Freigaben auf Rechnern? Welche Dateisysteme werden verwendet? Sind alle aktuellen Sicherheitsupdates eingespielt worden?

Auf den zu analysierenden Servern müssen diese Dienste aktiviert sein: Remoteregistrierung, Serverdienst sowie die Datei- und Druckfreigabe.

Administrative Vorlagen hinzufügen

MCSE Zu den administrativen Vorlagen in den Gruppenrichtlinien lassen sich neue hinzufügen.
administrative vorlagen gruppenrichtlinien

Beispiel dafür ist die "wuau.adm" um Einstellungen in eine GPO zu verpacken, damit 2000-Clients ihre Updates von einem SUS-Server bekommen können.
windows 2000 wuau wuau22.msi
Auch für den WSUS wird eine neuen "wuau.adm" benötigt, damit dafür eine passende administrative Vorlage "Windows-Update" erzeugt wird.

Computerkonto zurücksetzen oder aktivieren

MCSE Die Computerkonten werden automatisch gelegentlich (normal 30 Tage) mit neuen Passwörtern versehen. Nach einer authoritativen Wiederherstellung muss daher das Computerkonto zurückgesetzt werden.
computerkonto zurücksetzen neues passwort aktivieren

An dieser Stelle kann auch ein deaktiviertes Computerkonto (weisses X auf rotem Grund) wieder aktiviert werden. Das ist interessant für die Prüfung und um einen alten Computer durch einen neuen mit gleichem Namen zu ersetzen.

Wenn das Computerkonto für einen Rechner gelöscht wurde kann es nicht einfach wieder angelegt werden. Hier ist es einfacher, den Rechner aus der Domäne rauszunehmen und neu beitreten zu lassen.

Vererbte Berechtigungen kopieren oder löschen

MCSE Vererbte Berechtigungen können nicht direkt geändert werden. Sie müssen vorher kopiert oder gelöscht und neu angelegt werden.


Beim kopieren werden an dieser Stelle die durch Vererbung gültigen Berechtigungen explizit für den Ordner oder die Datei neu gesetzt.

Beim löschen werden alle geerbten Berechtigung für diese Stelle gelöscht, die explizit gesetzten bleibeb dabei natürlich bestehen. Diese (und nur diese!) können dann einzeln gelöscht werden (ebenfalls Register Sicherheit, Erweitert).

Replikation mit dem Domain-Controller erzwingen

MCSE Falls in einem LAN mit nur einem globalen Katalog und mehreren DC die Anmeldung neuer Benutzer nicht funktioniert muss die Replikation erzwungen werden.
active directory standorte dienste jetzt replizieren

Mit der Replikation wird bei neuen DCs auch der Netlogon-Dienst neu gestartet damit die Service Location Resource Records (SRV) in der DNS Zone ergänzt werden.
tweetbackcheck