[MBSA] MS의 가장 간편한 서버보안 점검툴

윈도우 서버의 보안취약성을 조사하기위한  가장 빠르고 간편한 방법인 MBSA를 소개합니다.
예전부터 블로그에 올려둔 내용인데  링크를 수정해서 다시  올려봅니다 .
현재 2.2버전이 배포되고 있는데  무료입니다.

Windows 서버가 가지고 있는 역할에 따라 여러가지를 점검해줍니다.
어떤것이 스캔되었는지 리포트해주고  보완책까지 보여주니  좋은 툴이라 하지 아니할수없습니다.

참고사항 :  MBSAcli :  MBSA를 명령행에서 실행하여 배치작업이 가능하게 해주는 툴입니다.
다운로드 URL: << MS 다운로드 사이트에서 >>
간략하게 서버에서 공통적으로 점검해야 할 리스트를 정리해보았습니다.
MBSA의 사항을 기본으로 약간더 추가해보았습니다. ^^

A.    Security Update (MBSA로 점검)
1. windows security updates 
2. SQL Server Security Updates:

B.    Administrative Vulnerabilites
1. Local Account Password: 계정에 불필요 사용자 제거, 패스워드는 복잡성 만족해야  (로컬계정의 패스워드 시한정하는 것은 실제론 쉽지 않아서 …. 적용이 쉽지않음)
2. filesystem:  모두 NTFS인가?  보안속성 검토
3. Autologon: Autologon 금지
4. Guest Account : Guest Account disable 했는가?
5. Restrict Anonymous: anonymous access금지되어 있는가? (win2003에선 대부분 금지되어있음)
  (win2000경우)  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
– RestrictAnonymous   REG_DWORD   0x2(16진수)
6. Administrators: 관리자 그룹에 속한 유저 확인하기: (최소로 사용하기)

C.    Additional System information
1. Auditing: 적합한 감사정책이 세워져 있는가?
      (제어판/ Administrative Tools / Local Security Policy)  (Local Policies / Audit Policy )
        -Audit account logon events (Success, Failure)
        -Audit account management (Success, Failure)
        -Audit directory service access (Failure)
        -Audit logon events (Success, Failure)
        -Audit object access (Failure)
        -Audit policy change (Success, Failure)
         -Audit system events (Success, Failure)
2. Services: 불필요 서비스의 존재 여부 (특히 Telnet)
3. Shares: 불필요 공유폴더의 존재 여부 (DMZ엔 공유폴더가 존재하지 않아야 한다.)

D.    Internet Information Services
 1. IIS status: IIS가 불필요하게 서버에 설치되고 가동되고 있지는 않는가?
 2. 관리자사이트: 사용금지

E.    SQL Server
 1. SQL status: SQL이나 MSDE가 불필요하게 서버에 설치되어 구동되고있지는 않은가?

F.    Desktop Application
 1. IE enhanced security configuration for administrators: IE 추가보안설정이 되어있는지 확인
   제어판/ 프로그램 추가제거 / 윈도우즈 구성요소 추가제거/ Internet Explorer enhanced security configuration에서
   for administrator groups 와 for all other users groups 항목을 체크해준다.
 2. Office product status: 불필요하게 서버에 오피스 프로그램이 설치되어있지는 않은가?

G.    기타사항들
1. Domain 가입 필수
2. 백신 설치 (인트라넷에서 자동업데이트 되도록 설정)
3. IP: 사설 아이피만 존재해야 함
4. 모뎀 설치 금지 
5. 중요도에 따라 MOM서버에서 모니터링 하도록  설정 필수
6. 백업 및 복구계획 (파일서버, DB서버, AD서버,)