PR

■「Microsoft Baseline Security Analyzer(MBSA)」は,Windowsが動作するマシンのパッチがキチンと適用されているか,セキュリティ関連の設定が適切か——などをチェックするために無償で配布されているツールである。MBSAもMicrosoft Updateへの対応と,いくつかの改善をはかり新版となった。旧版との違いを中心に解説する。

本記事は「日経Windowsプロ」2005年8月号に
掲載した記事を,編集/再構成したものです。  



企業向けツールとして熟成したMBSA
 SMS 2003やWSUSを使えば,パッチの配信と適用状況のチェックの双方を自動化できる。しかし,SMS 2003もWSUSもActive Directory(AD)が必須であり,専用のサーバーやSQL ServerまたはMSDEが必要だ。SMS 2003やWSUSを導入できる企業はまだまだ少数派であろう。パッチの適用は一般ユーザーに任せざるを得ないが,パッチ適用状況は確認したい——そういうユーザー向けのツールがMBSA 2.0である。

 MBSA 2.0の特徴は,(1)リモート・スキャンの仕組みを一新してMS Officeのパッチ適用状況を診断できるようにした,(2)コマンド・ライン・ツールを実装して複数マシンのスキャンを容易にした——という点である。

△ 図をクリックすると拡大されます
図1●アーキテクチャが一新されたMicrosoft Baseline Security Analyzer 2.0
 前バージョンのMBSA 1.2までは,リモート・マシンのパッチ適用状況を診断するのに,OSの管理共有を使ってリモート・マシンにアクセスし,ハードディスクをスキャンしていた。そのため,診断に非常に時間がかかっていた。

 それがMBSA 2.0では,パッチ適用状況を診断するのに,リモート・マシンのWindows Update Agentを呼び出すようになった(図1)。マシンをチェックするのはWindows Update Agentであり,MBSA 2.0は適用状況の情報だけ入手する。スキャン時間は短縮し,OSのパッチだけでなくMS Officeのパッチ適用状況もスキャンできるようになった。

 リモート・スキャンする上での準備作業も,コマンド・ライン・ツールを備えるMBSA 2.0で簡単になった。

 MBSAでリモート・スキャンをする場合,ユーザーはスキャン対象マシンの管理者権限を持っている必要がある。AD環境なら,ADの管理者がMBSAを実行すればいい。しかしワークグループ環境ではそうはいかない。MBSA 1.2までは,スキャン対象マシンのユーザー名/パスワードを個別に設定できなかった。スキャン対象マシンに管理者権限を持つアカウントを作成し,ユーザー名とパスワードをMBSA 1.2を実行するアカウントと同一にする必要があったのだ。

 MBSA 2.0では,「MBSACLI」というコマンド・ライン・ツールを使ってリモート・スキャンが可能になった。図2のように,スキャン対象のマシン名と,スキャンする際のユーザー名/パスワードを1対1で結びつけてスキャンできる。バッチ・ファイルを使えば自動化も容易だ。

図2●リモート・スキャンをするためのバッチ・ファイルの例

 残念なことに,Windows XP SP2にはバグがあり,現状ではWindowsファイアウオールを有効にしたマシンは,必要なポートを開けるよう設定してもMBSA 2.0でリモート・スキャンできない。修正パッチは「KB895200」として用意されているが,このパッチは9月中旬時点ではベータ版であり,使用するとサポート対象外になる。この問題が修正されれば,MBSA 2.0は企業ユーザーにとって非常に有用なツールになるだろう。