運用
Microsoft Baseline Security Analyzer 1.2日本語版(前編)

2.MBSA 1.2の動作原理と動作モード

デジタルアドバンテージ
2004/01/28

MBSAのインストールと内部動作原理

 MBSAのインストール自体は、ダウンロードしたファイル(MBSASetup-ja.msi)を実行し、ウィザードに従うだけでよい。インストールを完了すると、“%ProgramFiles%\Microsoft Baseline Security Analyzer”フォルダが作成され、ここにMBSAの実行ファイルがコピーされる。

 MBSAは、スキャンを実行するたびに、マイクロソフトのサイトから最新のパッチ情報ファイル(mssecure.cab:200Kbytes程度)をダウンロードし、“%ProgramFiles%\Microsoft Baseline Security Analyzer”フォルダにコピーする(ただしSUSを利用している場合は、SUSのサーバからパッチ情報がダウンロードされる。詳細は次回に述べる)。このCABファイルには、ホットフィックスに関するXML形式の最新情報(mssecure.xml:約1.5Mbytes)が圧縮されて収録されている。MBSAはこれをフォルダ内で解凍し、ファイル内部に記述された情報と、コンピュータをスキャンした結果を照らし合わせることで、ホットフィックスの適用状況を検査する。実際のCABファイルには、バージョンと思われる数値がファイル名の一部に付けられるようだ(mssecure_1033.cabなど)。

 具体的にMBSAでは、レジストリ・キー、ファイルのバージョンを検査して、ホットフィックスの適用状況をスキャンする。またコマンドライン・モードで実行すると、各ファイルのチェックサムもテストされる。これらの検査のうちいずれかがテストにパスしなければ、そのホットフィックスは正しくインストールされていないものとして扱われる。

 このようにMBSAは、インターネットにアクセス可能なオンラインの状態で実行するのが基本だが、オフライン環境で実行することも可能である。特にミッション・クリティカルな環境では、一時的ではあれ、インターネットに接続された状態を作りたくない場合もある。このような場合には、上記のパッチ情報ファイル(mssecure.cabファイル)を以下のサイトからマニュアルでダウンロードし、MBSAのインストール・フォルダ(“%ProgramFiles%\Microsoft Baseline Security Analyzer”フォルダ)にコピーすればよい。

 オンラインの状態でMBSAを実行すると、インターネット上のパッチ情報ファイルがチェックされるが、オフラインの状態で実行し、MBSAのインストール・フォルダにパッチ情報ファイルが存在する場合には、そのファイルを使ってスキャンが実行される。

 MBSAでスキャンを実行すると、MBSAを実行しているユーザーのプロファイル・フォルダ(%UserProfile%)の下に“SecurityScans”というフォルダが作成され、その下にスキャン対象のコンピュータごとに、毎回XMLファイルとしてスキャン結果が保存される。MBSAは、このXMLデータをブラウズすることでスキャン結果を表示している。力のあるプログラマなら、このXMLデータを読むカスタム・ブラウザを開発することもできるだろう。

MBSAの動作モード

 MBSAには、2つの実行ファイル(mbsa.exeとmbsacli.exe)があり、3つの動作モードがある。これらをまとめると次のようになる。

実行ファイル アプリケーション・モード スキャン・モード 説明
mbsa.exe GUI MBSA形式 GUIで操作、ビューが可能。[スタート]メニューから実行する場合はこちらが起動される
mbsacli.exe コマンドライン MBSA形式 スキャン・モードはMBSA形式だが、コマンドラインから実行する。スキャン結果はGUI版同様、“%UserProfile%\SecurityScans”フォルダに書き出される。この結果をGUIモードでビューすることもできる
mbsacli.exe コマンドライン HFNetChk形式 mbsacli.exeに/hfフラグを指定して起動する。HFNetChkとの互換モード

 mbsa.exeは、グラフィカルなインターフェイスを提供するMBSAの実行プログラムで、[スタート]メニューから実行したときにはこちらが起動される。通常、MBSAといえばこのGUI版が紹介されることが多い。もちろんこのGUIモードでも、リモート・コンピュータのスキャンはもちろん、ドメイン内に存在する全コンピュータやIPアドレス範囲を指定した一括スキャンなどもできる。起動オプションを細かく操作することなく、デフォルト設定でMBSAでのスキャンを実施する場合、あるいはスキャン結果を表示する場合にはこのGUIモードを利用するとよい。

 しかしMBSAには、コマンドライン・モードも用意されている。コマンドライン・モードでMBSAを起動する場合には、mbsacli.exeを実行する。このモードは、バッチやWSH(Windows Script Host)スクリプトなどからバッチ的に実行する場合など、GUIでは設定できないオプションを指定する場合に利用する。なお前述したとおり、GUIモードでは、チェックサムの検査がデフォルトでオフになっているが、コマンドラインのMBSAモードで実行した場合は、チェックサム検査がデフォルトで有効になっている。

C:\Program Files\Microsoft Baseline Security Analyzer>mbsacli
Microsoft Baseline Security Analyzer
Version 1.2 (1.2.3316.1)
(C) Copyright 2002-2004 Microsoft Corporation. All rights reserved.
HFNetChk は、Microsoft Corporation のために Shavlik Technologies, LLC により開発
されました。
(C) Copyright 2002-2004 Shavlik Technologies, LLC. www.shavlik.com

CAB を取得しています: http://go.microsoft.com/fwlink/?LinkId=18120
XML は正常に読み込まれました。
スキャンしています...
1 / 1 台のコンピュータのスキャンが完了しました。

スキャンは完了しました。

コンピュータ名, IP アドレス, 評価結果, レポート名
-------------------------------------------
D-ADVANTAGE\DAPCXXXX, 192.168.XXX.XXX, リスク大, D-ADVANTAGE - DAPCXXXX (2004-01-26 16-30)
コマンドライン・モード(MBSAモード)の実行例

 このコマンドライン・モードで実行した場合でも、スキャン結果はGUIモードと同じ“%UserProfile%\SecurityScans”フォルダに書き出される。こうしてコマンドライン・モードでスキャンした結果の情報を、後でGUIモードでビューすることができる。

 最後の実行モードは、従来から提供されていたHFNetChkの互換モードである。MBSAはHFNetChkの機能を包含しているので、これまでHFNetChkを利用していたユーザーは、MBSAに乗り換えることができる。このHFNetChk互換モードで実行するには、mbsacli.exeに/hfオプションを付けて起動する。

C:\Program Files\Microsoft Baseline Security Analyzer>mbsacli /hf
Microsoft Baseline Security Analyzer
Version 1.2 (1.2.3316.1)
(C) Copyright 2002-2004 Microsoft Corporation. All rights reserved.
HFNetChk は、Microsoft Corporation のために Shavlik Technologies, LLC により開発
されました。
(C) Copyright 2002-2004 Shavlik Technologies, LLC. www.shavlik.com


修正プログラムがない、警告、および注意のメッセージの詳細
を表示するには -v スイッチを使用してください。

スキャンしています: DAPCXXXX
CAB を取得しています: http://go.microsoft.com/fwlink/?LinkId=18120
XML は正常に読み込まれました。

スキャンが完了しました: DAPCXXXX
----------------------------
DAPCXXXX (192.168.XXX.XXX)
----------------------------

        * WINDOWS XP PROFESSIONAL SP1

        修正プログラムは見つかりませんでした    MS02-050        329115
        修正プログラムは見つかりませんでした    MS02-054        329048
        修正プログラムは見つかりませんでした    MS02-071        328310
        修正プログラムは見つかりませんでした    MS02-072        329390
        修正プログラムは見つかりませんでした    MS03-007        815021
(以下省略)
HFNetChk互換モードの実行例

 このようにHFNetChk互換モードでは、スキャン結果は標準出力(デフォルト時)に表示される。MBSAモードとは異なり、“%UserProfile%\SecurityScans”フォルダにはスキャン結果は出力されない。

 次回は、MBSAの具体的な操作方法、起動オプションの詳細について解説する。End of Article

  参考リンク
  MBSA 1.2日本語版のダウンロード先(マイクロソフト)
  MBSA 1.2ホワイトペーパー(マイクロソフト)
  MBSA 1.2 Q&A(マイクロソフト)
  MBSA 1.2早期版利用の注意点(マイクロソフト)
  HFNetChkの解説ページ(マイクロソフト)
  Windows管理者のためのHotFix管理入門(Windows Server Insider)
   
 
 INDEX
  [運用]
  Microsoft Baseline Security Analyzer 1.2日本語版(前編)
    1.MBSA 1.2の入手方法と必要環境
  2.MBSA 1.2の動作原理と動作モード
  Microsoft Baseline Security Analyzer 1.2日本語版(後編)
    1.GUIモードによるMBSAの実行
    2.コマンド・モードによるMBSAの実行
 
 運用

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH