Jedan od prvih koraka u implementaciji softverskog procesa update-ovanja je sakupljanje informacija koje se odnose na update-ove koje moramo da instaliramo na svim kompjuterima. Jedna od alatki koje možemo da iskoristimo za skeniranje kompjutera i pronalaženje update-ova koji nedostaju - je MBSA.
MBSA, koja uključuje grafički i command line interfejs, može da odradi lokalno i udaljeno skeniranje kompjutera, update-ova koji nedostaju i potencijalnih sigurnosnih problema. MBSA prikazuje rezultate skeniranja u Web.based izveštajima.
MBSA karakteristike
MBSA radi na kompjuterima na kojima su instalirani Windows XP, Windows 2000 i Windows Server 2003 i skenira kompjutere u potrazi za update-ovima koji nedostaju i potencijalnim konfiguracionim problemima Microsoft softvera.
MBSA skenira za:
- Skeniranje kompjutera u potrazi za sigurnosnim update-ovima koji nedostaju na sledećim prizvodima: Windows 2000 SP4, Windows XP, Windows Server 2003, IIS 5.0 & 6.0, SQL server 2000 SP4 i noviji; Internet Explorer 5.01 i noviji; Microsoft Windows Media Player 6.4 i noviji; Exchange Server 2000, Exchange server 2003 (uključujući i Exchange Admin tools), Microsoft data access components (MDAC)2.3, MDAC 2.6, MDAC 2.7, MDAC 2.8, MSXML 2.5, MSXML2.6, MSXML 3.0, MSXML 4.0, Microsoft Office XP i noviji; Microsoft DirectX, .NET framework.
- Potencijalni problemi u konfiguraciji u sledećim proizvodima: Internet Explorer 5.01 i noviji; IIS 5.0 & IIS 6.0, Office 2000, Office 2003, Office XP, SQL Server 7.0 & SQL server 2000, Windows 2000, Windows XP, Windows Server 2003.
- Ostale prednosti MBSA: Administrator može da koristi MBSA da bi sa centralne lokacije skenirao više kompjutera simultano. MBSA zahteva minimalnu konfiguraciju, MBSA je dostupan i može se besplatno preuzeti sa Microsoft Web sajta.
Zahtevi za instalaciju i korišćenje MBSA
Sledeće komponente se zahtevaju da bi MBSA mogao da se startuje na kompjuteru ili da bi moglo da se izvrši skeniranje kompjutera korišćenjem MBSA. Da bismo mogli da instaliramo MBSA i skeniramo kompjuter na kojem je instaliran MBSA, potrebno je da kompjuter ispunjava sledeće zahteve:
Zahtevi za startovanje MBSA za skeniranje lokalnog kompjutera:
- Kompjuter mora da radi na Windows Server 2003, Windows 2000 SP3 ili noviji, Windows XP.
- Internet Explorer 5.01 ili noviji mora da bude instaliran.
- Extensible Markup Language (XML) parser se zahteva da bi alatka radila na najbolji način. Preporučuje se da najnovija verzija MSXML parser-a bude instalirana. Na Windows 2000 sistemima koji nemaju MSXML 3.0 instaliran, set up se neće nastaviti sve dok korisnik ne instalira najnoviji MSXML parser.
- Word Wide Web Service je zahtevan ako želimo da izvršimo proveru slabosti IIS-a. IIS Common fajlovi se zahtevaju na lokalnom kompjuteru prilikom udaljenog skeniranja IIS 6.0 servera.
- Windows Update Agent 2.0 je automatski instaliran prilikom prvog skeniranja jer je potreban za skeniranje update-ova.
- Sledeći servisi se moraju omogućiti: Workstation servis, Server servis.
Zahtevi za startovanje MBSA za udaljeno skeniranje
Kompjuteri koji se skeniraju korišćenjem MBSA moraju da ispunjavaju sledeće zahteve:
- Kompjuter mora da radi na Windows Server 2003, Windows 2000 SP3 ili noviji, Windows XP. Itanium-based kompjuteri moraju da rade na Windows Server 2003 ili Windows Server 2003 SP1.
- Internet Explorer 5.01 se zahteva za proveru Internet Explorer Zona.
- IIS 5.0 ili IIS 6.0 je potreban za proveru IIS proizvoda i administrativnih ranjivosti.
- Windows Update Agent 2.0 je automatski instaliran nakon prvog skeniranja zato što je potreban da bi se uspešno izvršilo skeniranje update-ova.
- SQL Server 7.0 ili SQL 2000 ili Mashine Data Engine ili Windows Microsoft SQL Server 2000 Desktop Engine (WMSDE) se zahteva da bi mogla da se izvrši provera SQL proizvoda i administrativnih ranjivosti.
- Microsoft Office System 2003, Office 2000 ili Office XP se zahtevaju da bi mogla da se izvrši provera proizvoda i administrativne ranjivosti.
- Windows Installer 3.0 ili noviji se zahtevaju za proveru update-ova za Office proizvode.
- Sledeći servisi moraju da se omoguće: Server servis, Remote Registry servis, COM+.
- Ako je Firewall omogućen, File and Printer Sharing mora da se konfiguriše kao Windows Firewall Exception (Firewall mora da propusta taj saobraćaj).
- DCOM je potreban za udaljeno skeniranje sigurnosnih update-ova.
Udaljeno skeniranje kompjutera kroz lični (personalni) Firewall
Ako skeniramo kompjutere korišćenjem MBSA, a na kompjuterima je konfigurisan Windows Firewall, moramo da omogućimo Access trough the Firewall da bismo omogućili kompletno MBSA skeniranje. Da bi ovaj process bio izvršen, potrebno je:
- Konfigurisati Firewall da dozvoljava File and Printer Sharing kao Exception i dozvoliti dolazeće poruke od MBSA kompjutera.
- Konfigurisati Firewall da dozvoljava udaljenu administraciju omogućavanjem Remote Administration exception-a iz grupnih polisa.
- Konfigurisati Firewall da dozvoljava korišćenje DCOM. Korišćenje DCOM-a za udaljeno skeniranje kroz Firewall (sve verzije Windows XP) može da zahteva određeni Hotfix koji je otpušten posle XP SP2, kao što je opisano u Microsoft-ovom tekstu u njegovoj bazi znanja pod šifrom 895200 “ Availability of the Windows XP COM+ Hotfix Rollup Package 9”. Da bismo omogućili pristup kroz Firewall, moramo da dozvolimo port 135 i prilagođeni port na našem Firewall-u. Prilagođeni port može biti bilo koji port koji neće biti u konfliktu sa portovima koji se trenutno koriste na drugim aplikacijama.
Kako radi MBSA?
Wsusscan.cab fajl sadrži informacije koje koristi MBSA prilikom skeniranja sigurnosnih problema. Ovaj fajl se može dobiti automatskim korišćenjem MBSA ili se može ručno preuzeti kada internet konekcija nije dostupna.
Wsusscan.cab fajl sadrži:
- Imena Security Bulletin-a,
- Product-specific update-ove,
- Informacije o verziji,
- Promene u registry ključevima,
- Microsoft Knowledge Base (baza znanja), broj artikala.
U sledećih par koraka će Vam biti predstavljeno kako radi MBSA:
- Startujemo MBSA i odredimo kompjuter koji želimo da skeniramo (target computer).
- MBSA preuzima Wsusscan.cab fajl i proverava njegov digitalni potpis. MBSA dalje pokušava da kontaktira Microsoft Download Center da bi dobio ovaj fajl; kao alternative, ovaj fajl se može preuzeti ručno i iskopirati na kompjuter koji inicira skeniranje. Nakon toga fajl treba smestiti u MBSA instalacioni folder.
- MBSA skenira target sisteme za operativne sisteme, komponente operativnog sistema i aplikacije.
- MBSA analizira Wsusscan.cab fajl da bi video da li su update-ovi dostupni.
- MBSA proverava sistem da bi došao do informacije o update-ovima koji nedostaju.
- MBSA generiše izveštaj koji izlistava sve sigurnosne update-ove koji nedostaju u sistemu
MBSA opcije za skeniranje (Scan Options)
Možemo da koristimo MBSA kroz grafički korisnički interfejs (GUI) ili korišćenjem komandne linije.
Grafički korisnički interfejs
Kada koristimo MBSA kroz grafički korisnički interfejs, iniciramo skeniranje iz GUI-a pa MBSA generiše izveštaj koji možemo da vidimo koristeći isti interfejs.
MBSA Update Scanning opcije
Jedna od opcija koje možemo da izaberemo prilikom iniciranja skeniranja koristeći MBSA je:
Scanning for Missing Updates: Ako odredimo ovu opciju izvršiće se skeniranje ciljanog kompjutera u potrazi za update-ovima koji nedostaju u Windows-u i Office-u. Kada odredimo ovu opciju, možemo da odredimo i sledeće opcije:
- Configure Computers for Microsoft Update and Scanning prerequisites.
- Scan using Update Services Servers only.
- Scan using Microsoft Update only.
Mbsacli.exe interfejs za komandnu liniju
Command-line interfejs dolazi sa Mbsacli.exe alatkom. Alatka je instalirana nakon instalacije MBSA i podržava iste operacije kao i grafička alatka koristeći svičeve (switches). Najčešći Mbsacli.exe svičevi su: