Délégation Centre-Auvergne-Limousin

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Délégation Centre-Auvergne-Limousin

Article complet Microsoft http://support.microsoft.com/default.aspx?scid=kb;fr;320454#XSLTH3125121121120121120120

Téléchargez la nouvelle version de MBSA 2.0.2

Options de ligne de commande de l'outil MBSAVous pouvez effectuer deux types d'analyses à l'aide de l'interface de ligne de commande de l'outil MBSA : les analyses de type MBSA et celles de type HFNetChk.

Analyses de type MBSA

Comme dans la version 1.1.1 de MBSA, l'analyse de type MBSA stocke les résultats dans des fichiers XML individuels pour les afficher par la suite dans l'interface utilisateur MBSA. Les analyses de type MBSA comprennent la série complète de vérifications Windows, IIS, SQL, des applications de bureau et des mises à jour de sécurité.

Remarque Pour effectuer une analyse avec les mêmes options que l'interface utilisateur MBSA, vous devez utiliser de manière explicite les commutateurs /baseline et /nosum.

Pour exécuter l'outil à partir de la ligne de commande (à partir du dossier d'installation de MBSA), tapez mbsacli.exe et utilisez les paramètres suivants.
mbsacli [/c|/i|/r|/d nom_domaine|adresse_IP|plage_adresses_IP] [/n option] [/baseline] [/sus serveur_SUS|nom_fichier_SUS] [/s niveau] [/nosum] [/nvc] [/o nom_fichier] [/e] [/l] [/ls] [/lr nom_rapport] [/ld nom_rapport] [/v] [/?] [/qp] [/qe] [/qr] [/q] [/f] [/unicode]

Sélection de l'ordinateur à analyser
aucune option - analyse l'ordinateur local.
/c nom_domaine\nom_ordinateur- analyse l'ordinateur nommé.
/i xxx.xxx.xxx.xxx - analyse l'adresse IP spécifiée.
/r xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx - analyse la plage d'adresses IP spécifiée.
/d nom_domaine - analyse le domaine nommé.
Sélection des options d'analyse à ne pas effectuer
Remarque Vous pouvez concaténer ces options. Par exemple, vous pouvez utiliser /n OS + IIS + Updates pour ignorer les vérifications des services Internet (IIS), de Windows et des mises à jour de sécurité.
/n IIS - ignore la vérification IIS.
/n OS - ignore la vérification du système d'exploitation Windows.

Remarque Lorsque vous utilisez ce commutateur, les vérifications des zones de sécurité Internet Explorer et Outlook et de la sécurité des macros Office sont également ignorées.
/n Password - ignore la vérification des mots de passe.
/n SQL - ignore la vérification SQL.
/n Updates - ignore la vérification des mises à jour de sécurité.
Options d'analyse des mises à jour de sécurité
/sus serveur_SUS | nom_fichier_SUS - vérifie uniquement les mises à jour de sécurité approuvées sur le serveur SUS spécifié ou au chemin d'accès au fichier Approveditems.txt. Utilisez l'une des options suivantes avec le commutateur /sus :
L'URL du serveur SUS. Par exemple, http://serveur.
L'URL ou le chemin UNC du fichier Approveditems.txt. Par exemple, http://serveur/Approveditems.txt.
Remarque Si vous ne spécifiez aucun chemin d'accès ni URL, la valeur stockée dans le Registre de l'ordinateur client est utilisée (si elle est disponible). Cette valeur de Registre peut être spécifiée par l'administrateur réseau par le biais de la Stratégie de groupe.
/s 1 - supprime les messages de remarque de vérification des mises à jour de sécurité.
/s 2 - supprime les messages d'avertissement et de remarque de vérification des mises à jour de sécurité.
/nosum - la vérification des mises à jour de sécurité ne teste pas les totaux de contrôle des fichiers.
Spécification d'un modèle de nom de fichier de résultat
/o nom_fichier Par défaut, le nom du fichier de sortie utilise le format domaine - nom_ordinateur (date).
Affichage des résultats et des détails
/e - répertorie les erreurs de l'analyse la plus récente.
/l - répertorie tous les rapports disponibles.
/ls - répertorie les rapports de l'analyse la plus récente.
/lr nom_rapport - affiche un rapport général.
/ld nom_rapport - affiche un rapport détaillé.
/v – affiche les codes de raison des mises à jour de sécurité.
Options diverses
/? - aide de l'utilisateur.
/qp - n'affiche pas la progression.
/qe - n'affiche pas la liste d'erreurs.
/qr - n'affiche pas la liste de rapports.
/q - n'affiche pas la progression, la liste d'erreurs ni la liste de rapports.
/f - redirige la sortie dans un fichier.
/unicode – génère une sortie unicode. Si vous exécutez une version japonaise de MBSA ou si vous analysez des ordinateurs qui exécutent des versions japonaises de Windows, il est préférable de spécifier ce commutateur.

Analyses de type HFNetChk

Tout comme l'outil autonome HFNetChk, l'analyse de type HFNetChk détecte l'absence de mises à jour de sécurité et affiche les résultats de l'analyse en tant que texte dans la fenêtre de la ligne de commande. Pour effectuer une analyse de type HFNetChk avec MBSA version 1.2.1, utilisez l'indicateur /hf avec Mbsacli.exe.

Remarque Pour effectuer une analyse avec les mêmes options que l'interface utilisateur MBSA avec le commutateur /hf, vous devez utiliser de manière explicite les commutateurs /b, -v et /nosum (décrits ci-dessous).

Remarque Les paramètres d'analyse de type MBSA répertoriés plus haut ne peuvent pas être combinés avec l'option de commutateur /hf.

Pour exécuter l'outil à partir de la ligne de commande (à partir du dossier d'installation de MBSA), tapez mbsacli.exe /hf, suivi d'un ou plusieurs des paramètres répertoriés plus bas dans cet article.

Pour plus d'informations sur ces paramètres, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
303215 L'outil de contrôle de correctif Microsoft Sécurité du réseau (Hfnetchk.exe) est disponible

Commutateurs disponibles avec l'indicateur /hf.


mbsacli /hf [-h nom_hôte] [-fh nom_fichier] [-i adresse_IP] [-fip nom_fichier] [-r plage_adresses_IP] [-d nom_domaine] [-n] [-sus serveur_SUS|nom_fichier_SUS] [-b] [-fq nom_fichier] [-s 1] [-s 2] [-nosum] [-sum] [-z] [-v] [-history niveau] [-nvc] [-o option] [-f nom_fichier] [-unicode] [-t] [-u nom_utilisateur] [-p mot_de_passe] [-x] [-?]
Sélection de l'ordinateur à analyser
-h nom_hôte - analyse le nom d'ordinateur NetBIOS nommé. L'emplacement par défaut est l'hôte local. Pour analyser plusieurs hôtes, séparez leurs noms par des virgules (,).
-fh nom_fichier - analyse les noms d'ordinateurs NetBIOS spécifiés dans le fichier texte nommé. Spécifiez un nom d'ordinateur par ligne du fichier .txt, avec un maximum de 128 noms.
-i xxx.xxx.xxx.xxx - analyse l'adresse IP nommée. Pour analyser plusieurs adresses IP, séparez-les par des virgules.
-fip nom_fichier - analyse les adresses IP spécifiées dans le fichier texte nommé. Spécifiez une adresse IP par ligne du fichier .txt, avec un maximum de 256 adresses.
-r xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx - analyse une plage d'adresses IP spécifiée.

Remarque Vous pouvez utiliser toute combinaison des commutateurs précédents. Par exemple, vous pouvez utiliser une ligne de commande avec le format suivant : mbsacli /hf –h nom_hôte1,nom_hôte2 -i xxx.xxx.xxx.xxx -fip adressesIP.txt -r yyy.yyy.yyy.yyy-zzz.zzz.zzz.zzz
-d nom_domaine - analyse le domaine spécifié.
-n - analyse tous les ordinateurs sur le réseau local. Tous les ordinateurs de tous les domaines du Voisinage réseau (ou des Favoris réseau) sont analysés.
Sélection des options d'analyse à effectuer ou à afficher
-sus serveur_SUS|nom_fichier_SUS ou -sus serveur_sus - vérifie uniquement les mises à jour de sécurité approuvées à l'URL du serveur SUS spécifiée ou au chemin d'accès au fichier Approveditems.txt spécifié. Si vous ne spécifiez aucun chemin d'accès ni URL, la valeur stockée dans le Registre de l'ordinateur client est utilisée.
-b- recherche sur un ordinateur uniquement les mises à jour déterminées comme critiques par le centre MSRC (Microsoft Security Response Center).
-fq nom_fichier - spécifie le nom d'un fichier contenant les numéros de mises à jour (Qnumbers) à supprimer dans le résultat. Spécifiez un Qnumber par ligne. Cet argument empêche seulement l'affichage des éléments spécifiés dans le résultat ; les éléments sont tout de même pris en compte au cours de l'analyse.
-s 1 - supprime les messages de remarque de vérification des mises à jour de sécurité.
-s 2 - supprime les messages d'avertissement et de remarque de vérification des mises à jour de sécurité.
-nosum - n'effectue pas la validation des totaux de contrôle pour les fichiers des mises à jour de sécurité. Généralement, vous n'avez pas besoin de cet argument.
-sum - force une analyse des totaux de contrôle lors de l'analyse d'un ordinateur dans une langue autre que l'anglais. Utilisez ce commutateur uniquement dans le cas d'un fichier XML personnalisé avec des totaux de contrôle dépendants de la langue.
-z - n'effectue pas de vérification du Registre.

Remarque Lorsque vous utilisez ce commutateur avec -history, les vérifications du Registre sont toujours effectuées pour les correctifs qui possèdent uniquement des données de clés de Registre (mais aucune information de version de fichier) dans le fichier Mssecure.xml.
-v - affiche la raison pour laquelle un test n'a pas fonctionné en mode de renvoi à la ligne. Vous pouvez utiliser cet argument pour afficher la raison pour laquelle une mise à jour de la sécurité est considérée comme non trouvée ("not found") ou si vous recevez un message d'AVERTISSEMENT ou une REMARQUE.
-history [n]- affiche les mises à jour qui ont été installées de manière explicite, celles qui n'ont pas été installées de manière explicite ou les deux. Généralement, vous n'avez pas besoin de cet argument. Toutefois, il peut être utile dans certaines circonstances particulières. Vous disposez des options suivantes avec cet argument :
1 - affiche les mises à jour installées de manière explicite.
2 - affiche les mises à jour n'ayant pas été installées de manière explicite.
3 - affiche à la fois les mises à jour ayant été installées et n'ayant pas été installées de manière explicite.
Par exemple, utilisez –history 1 pour afficher les mises à jour installées de manière explicite.
-nvc – ne recherche pas de nouvelle version de MBSA.
Spécification du format du résultat et du nom de fichier
-o [option] - spécifie le format de résultat souhaité. Vous disposez des options suivantes avec cet argument :
tab - affiche le résultat en format délimité par tabulations.
wrap - affiche le résultat en mode de renvoi à la ligne.
-f nom_fichier - spécifie le nom du fichier dans lequel le résultat sera stocké. Vous pouvez utiliser cet argument pour les deux formats (délimité par tabulation ou avec renvoi à la ligne).
-unicode – génère une sortie unicode. Si vous exécutez une version japonaise de MBSA ou si vous analysez des ordinateurs qui exécutent des versions japonaises de Windows, il est préférable de spécifier ce commutateur.
Options diverses
-t- affiche le nombre de threads utilisés pour exécuter l'analyse. Par défaut, cette valeur est égale à 64, mais elle peut varier de 1 à 128. Vous pouvez utiliser cet argument pour accélérer ou ralentir l'analyse.
-u nom_utilisateur - spécifie le nom d'utilisateur à utiliser lors de l'analyse d'un ordinateur ou d'un groupe d'ordinateurs local ou distant. Vous devez l'utiliser avec le commutateur -p (mot de passe).
-p mot_passe - spécifie le mot de passe à utiliser lors de l'analyse d'un ordinateur ou d'un groupe d'ordinateurs local ou distant. Vous devez utiliser cet argument avec l'argument -u (nom d'utilisateur). Pour des raisons de sécurité, le mot de passe n'est pas envoyé en texte clair (non crypté) sur le réseau. HFNetChk utilise le mécanisme "challenge-response" (vérification des réponses) de Windows NT 4.0 et versions ultérieures pour sécuriser le processus d'authentification.
-x - spécifie la source de données XML contenant les informations de mise à jour de sécurité disponibles. L'emplacement peut être un nom de fichier XML, un fichier .cab XML compressé ou une URL. Le fichier par défaut est Mssecure.cab provenant du site Web de Microsoft. Si vous n'utilisez pas cet argument, le fichier Mssecure.xml est téléchargé à partir du site Web de Microsoft.
-? - affiche un menu. Vous pouvez également appeler cet argument à l'aide de la syntaxe /?. Le menu s'affiche également chaque fois que vous tapez une syntaxe incorrecte à l'invite de commandes.

Détection des mises à jour

Microsoft Baseline Security Analyzer (MBSA) version 1.2.1 modifie la façon dont les mises à jour sont détectées. De plus, cette version possédant des capacités de détection améliorées, certaines mises à jour peuvent être signalées comme "Non applicable" bien qu'elles aient été signalées comme "Applicable" dans la version précédente.

Pour plus d'informations sur les différences entre MBSA 1.1.1 et MBSA 1.2.1, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
306460 Hfnetchk renvoie des remarques pour les correctifs installés

Remarques sur l'analyse

Rapports d'analyse

Les rapports d'analyse sont stockés sur l'ordinateur sur lequel l'outil est installé, dans le dossier %userprofile%\SecurityScans. Un rapport de sécurité individuel est créé pour chaque ordinateur analysé (localement ou à distance). Les utilisateurs doivent utiliser l'Explorateur Windows pour renommer ou supprimer les analyses créées par l'outil dans ce dossier.

Analyse des mises à jour de sécurité

Par défaut, une analyse des mises à jour de sécurité exécutée à partir de l'interface utilisateur MBSA ou de Mbsacli.exe détecte et signale les mises à jour manquantes déterminées par Windows Update comme critiques (ou baseline, en anglais). Lors de l'analyse des mises à jour de sécurité à partir de Mbsacli.exe à l'aide de l'argument /hf, toutes les mises à jour liées à la sécurité sont détectées et signalées. L'utilisateur qui effectue une analyse de type HFNetChk doit utiliser l'option -b pour détecter uniquement les mises à jour de sécurité déterminées comme critiques par Windows Update.

Vérification des mots de passe

La vérification des mots de passe peut augmenter de manière importante la durée d'une analyse, selon le rôle de l'ordinateur et le nombre de comptes d'utilisateurs définis sur l'ordinateur. En outre, la vérification des mots de passe faibles des comptes individuels peut augmenter le nombre d'entrées du journal Sécurité (événements d'ouverture/fermeture de session) si l'audit est activé sur l'ordinateur. L'outil MBSA réinitialise toutes les stratégies de verrouillage de compte qu'il détecte sur un ordinateur, de manière à ne pas verrouiller de comptes d'utilisateurs individuels au cours de la vérification des mots de passe. Cette vérification n'est pas effectuée sur les contrôleurs de domaine.

Si vous ne sélectionnez pas cette option avant l'analyse d'un ordinateur, l'outil MBSA n'effectuera pas la vérification des mots de passe Windows local et du compte SQL.

Vérifications IIS

Les fichiers communs IIS 6.0 sont requis sur l'ordinateur local utilisé pour effectuer l'analyse à distance d'un serveur IIS 6.0. Les fichiers communs IIS 6.0 peuvent également être utilisés pour analyser des ordinateurs exécutant des versions antérieures des services Internet (par exemple IIS 5.0). Toutefois, les fichiers communs IIS 5.0 ne peuvent pas être utilisés pour établir une connexion à distance et analyser un ordinateur qui exécute les services Internet (IIS) 6.0.

Vérification de SQL Server

L'outil recherche des problèmes de sécurité dans chaque instance de SQL Server qu'il trouve sur l'ordinateur. Il effectue toutes les vérifications SQL sur chaque instance.

Versions Windows localisées

La version 1.2.1 de MBSA peut analyser des versions localisées en anglais, allemand, français et japonais du système d'exploitation Windows. Cette prise en charge inclut la capacité à télécharger des versions localisées du fichier Mssecure.xml à partir du site Web de Microsoft. Aucune vérification de somme de contrôle n'est effectuée lorsque vous détectez l'absence de mises à jour de sécurité sur un ordinateur localisé dans une langue autre que l'anglais sans le fichier Mssecure.xml localisé associé.

Options de support

Un groupe de discussion MBSA a été créé pour permettre aux utilisateurs de publier leurs questions et d'obtenir des informations sur les mises à jour de l'outil, des questions techniques et les prochaines versions :
Serveur de News : Msnews.microsoft.com
Groupe de discussion : Microsoft.public.security.baseline_analyzer
Si vous signalez des bogues dans ce groupe de discussion, indiquez les informations suivantes :
Les versions du système d'exploitation et du Service Pack de l'ordinateur sur lequel s'exécute l'outil.
Les versions du système d'exploitation et du Service Pack de l'ordinateur analysé.
La version de Microsoft Internet Explorer de l'ordinateur qui exécute l'outil.
La version de Microsoft Internet Explorer de l'ordinateur analysé.
La version de l'outil MBSA. Vous pouvez obtenir ces informations en cliquant sur À propos de Microsoft Baseline Security Analyzer dans l'outil MBSA.
L'outil MBSA a été développé pour Microsoft par Shavlik Technologies LLC. Pour plus d'informations sur Shavlik Technologies LLC, consultez le site Web de Shavlik Technologies LLC (en anglais) à l'adresse suivante (en anglais) : Microsoft fournit les coordonnées de sociétés tierces afin de vous aider à trouver un support technique. Ces informations peuvent être modifiées sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.

Page Up Updated 27 août, 2004 Hervé Chaudret
C.N.R.S.

 -   Home   -  News   -   Conseils   -  Sécurité   -  Mise à jour   -   Liens   -  Accès   -

C.N.R.S.