A Microsoft Baseline Security Analyzer (MBSA) alkalmazásával feltérképezhetjük, hogy hol vannak hibák vagy gyengeségek a rendszerünkben. Az MBSA többféle Windows rendszeren is futtatható, így azok is alkalmazhatják, akiknek régebbi verziójú rendszerük van. Az MBSA használata nem pótolja a biztonsági beállítások finomhangolását, de bárcsak minden felhasználó eljutna odáig, hogy végrehajtja az alapelveket és lefuttatja ezt a biztonsági tesztet.
Az alapelveket már végrehajtók kevesebb vészjelzést fognak kapni az MBSA-tól a rendszerükről, de az alapelvek végrehajtása nélkül is futtatható az MBSA. Először töltsük le az alkalmazás legfrissebb verzióját. Ezután az mbsasetup.msi fájlt futtatva a bemutatkozó és a licensz-feltételeket bemutató ablak után megjelenik egy ablak, melyben eldönthetjük, hogy az elemzést bárki futtathatja a gépen, vagy csak a telepítő. A döntés sokmindentől függhet (milyen azonosítóról használjuk a gépet, kik használják még stb.), de alapesetben válasszuk azt, hogy csak a telepítést végző azonosítóval (Only for me) lehessen használni:
Ezután megadhatjuk, hogy hova telepítse magát az alkalmazás, majd a következő ablakban beállíthatjuk, hogy a telepítés után mutassa-e meg a readme fájlt, készüljön-e kis ikon a munkaasztalra, és induljon-e el a telepítés után az alkalmazás. Ezekre a beállításokra szokták javasolni a Next (Következő/Tovább) gombok klikkelését. Ha ezen túljutottunk, akkor a következő ablak fogad minket:
Ne dőljünk be a 0KB jóslatnak (klikk a Reset gombon), de a kevéske választási lehetőség miatt (talán a következő verzióknak készítették elő a terepet ezzel a kerettel) lépjünk is tovább (Next). A következő ablakon továbblépve a telepítés elkezdődik és a leírás (readme) megjelenésével a telepítés megtörtént, az asztalon megtaláljuk az alkalmazás ikonját is:
Az alkalmazás elindult, és a beköszönő ablakban választhatunk, hogy egy vagy több gépet szeretnénk vizsgálni. Figyelem! Nem morcos rendszergazdák által felügyelt irodai, munkahelyi környezetben ajánlatos tesztelni az alkalmazást, ráadásul előzetes egyeztetés nélkül, hanem csak saját gépünkön!
Az alapbeállítások elfogadása után (részletes leírás elérhető a 'Scanning Options'-ra kattintva) elindíthatjuk a keresést (Start scan) az alkalmazás által ismert biztonsági problémák után:
Az eredményeket felsoroló ablakban a legrosszabbakat olvashatjuk az elején (Worst first), és a mellékelt képen látható, hogy kritikus biztonsági frissítés nem hiányzik a gépen (bárcsak mindenhol így lenne):
Azt is rögtön észrevehetjük, hogy nem fut olyan alkalmazás a gépen, amire nincs szükségünk, így azokban nem is lehet hibát találni (IIS, SQL, Exchange szerverek). Legyen most csak a példa okán egy kis gubanc is a gépen:
Látható, hogy van olyan beállítás, ami nem a legbiztonságosabb, de a magyarázaton felül leírást is kapunk a helyes beállítás elvégzéséhez (How to correct this). Az utasításokat kövessük figyelemmel, mert ezen a szinten legtöbbször a registry-nek nevezett varázsvilágban kell bolyonganunk és érthetetlen, hogy egyes beállításokat milyen mágia miatt kell elkövetni, de ha ettől eltérünk, akkor komoly gondot okozhatunk a rendszer stabilitásában.
A sárga jelzés szerint van még apróbb gubanc is a gépünkön, mégpedig az, hogy az azonosítók közül néhánynak (a 'Result details'-re klikkelve megmutatja az alkalmazás az azonosítókat is) olyan jelszava van, aminek nincs lejárata. A jelszavakról szóló részben ismertettük a megfelelő jelszópolitikát. Az alkalmazás nemcsak az operációs rendszer gyengeségeire hívja fel a figyelmet, hanem az Explorer böngésző vagy éppen az Office csomag veszélyt rejtő gyengeségeire is, így ezeket is vegyük komolyan (pl. Office alkalmazásokban a makrók biztonságos kezelése).
Az eredményeket kinyomtathatjuk, vagy kimásolhatjuk, de az alkalmazás el is tárolja, így a legközelebbi futtatáskor (ami 5 perc múlva lesz, miután kijavítottuk a felsorolt hibákat és gyengeségeket! :-)) is meglesznek az előző vizsgálatok eredményei.
Kiegészítésképpen megemlítjük, hogy amennyiben tűzfalunk van, úgy engedélyezzük az alkalmazás számára, hogy kapcsolódjon az anyacég különböző szervereihez. A vizsgálatot végezzük el megfelelő időközönként, és nézzük meg azt is, hogy elérhető-e már az alkalmazásnak egy frissebb verziója. Az operációs rendszer automatikus frissítésénél ehhez kapunk kényelmes támogatást, ha beállítjuk, hogy az újabb frissítések létét automatikusan ellenőrizze a rendszer, és jelezze azokat. A Vezérlőpult (Control Panel) ablakban található Automatikus frissítést (Automatic Updates) elindítva állíthatjuk be a megfelelő működést:
Az ajánlott beállítás az ellenőrzés, jelzés páros, de a letöltés és telepítés inkább kézzel történjen, hogy tudjuk, lássuk, mit művelünk. Az ellenőrzés lehet automatikus, de a ténykedés legyen tudatos.
Mindezt beállítva és alkalmazva az MBSA, az egyéb öntesztelő programok és főleg a támadók remélhetőleg oly kevés sebezhetőséget találnak, hogy inkább másfelé veszik az útjukat. Ennek reményében zárul a Windows biztonsági beállításait segítő oldalak sora.