Mit der kurzen Beschreibung “Analyze changes to Windows Attack Surface” hat Microsoft vor zwei Tagen das Tool “Microsoft Attack Surface Analyzer BETA” publiziert.

Der Microsoft Attack Surface Analyzer zeigt Veränderungen im Windows-System nach einer Software-Installation – das ist einerseits für Software Entwickler sehr praktisch (Vorher – Nachher Status) und andererseits auch für Anwender eine Hilfe, um das eigene Windows noch sicherer zu machen.

Microsoft_Attack_Surface_Analyzer

Das Tool mit der aktuellen Version 5.1.3.0 steht im Microsoft Download Center in englisch zur Verfügung und ist nur 1.6MB klein. Das Tool läuft unter Windows 7, Windows Vista, Windows Server 2008 R1 und Windows Server 2008 R2 mit installiertem Microsoft .Net 3.5 SP1 – deswegen so klein und muss mit administrativen Rechten gestartet werden.

Nach der Installation startet das Tool einen “baseline” Scan um die Maschine zu analysieren und sollte auf einen “sauberen” Windows Maschine gestartet werden. In weiteren “product” Scans werden dann die Unterschiede aufgezeichnet. Jeder Scan generiert ein .CAB File, welches dann analysiert werden kann.

Microsoft_Attack_Surface_Analyzer_1

Gleich auf zum Test: Nun gut, ich habe den baseline Scan gleich mal auf meiner Produktiv-Maschine angewendet – zwar nicht ganz der Sinn der Sache, aber auch ganz gut um einmal einen Eindruck davon zu bekommen. Nach dem ersten Scan habe ich ein kleines Tool “TreeSize” installiert und gleich den ersten product-Scan durchgeführt:

Microsoft_Attack_Surface_Analyzer_2

Nach den erfolgten Scans kann das erstellte .CAB-File durch Auswahl von "Generate attack surface report" angesehen werden.

Microsoft_Attack_Surface_Analyzer_3

Achja, im Browser “You must enable JavaScript to view the report contents.” zulassen.
So sieht dann die Zusammenfassung des Reports aus:

Microsoft_Attack_Surface_Analyzer_Report_4

“Security Issues”: Ja, stimmt – genau dieses kleine Tool habe ich nach dem baseline Scan installiert:

Microsoft_Attack_Surface_Analyzer_Report_5

Die Empfehlung dazu lautet: “Folder ACLs should be set to eliminate permissions that do not allow tampering by unprivileged users.”

Schauen wir mal in “Attack Surface” zu den Prozess- und Netzwerkinformationen meiner Maschine:

Microsoft_Attack_Surface_Analyzer_Report_6

Soweit so gut, recht informativ und tatsächlich das, was ich mir vom Tool erwartet habe:
Anzeige der Unterschiede Vorher-Nachher und Anzeige der möglichen Schwachstellen.

Für End-Anwender fehlt mir allerdings noch der Button “Problem lösen” – das wär noch fein (allerdings mit der Option das dann auch wieder rückgängig zu machen bzw. auf eine ältere .CAB-Version zurückzusetzen, wenn es dann nicht mehr funktioniert). Andrerseits gibt es ja bereits die System-Wiederherstellungspunkte in Windows. Vielleicht kommen ja noch ein paar weitere Funktionen oder Ideen in das Beta-Produkt hinein.

Testen Sie Microsoft Attack Surface Analyzer Beta auch gleich selbst sehen Sie sich “Ihre” Security Löcher an um das eigene Windows noch sicherer machen. Zwinkerndes Smiley