Błędy w konfiguracji zwiększają ryzyko ataku, często mają też negatywny wpływ na wydajność. Web Application Configuration Analyzer to bezpłatne narzędzie skanujące system i sugerujące zmiany w oparciu o zestaw dobrych praktyk. Niedawno Microsoft udostępnił wersję 2.0 tego narzędzia.

Polecamy: Analizatory sieci:monitoring i bezpieczeństwo

Raport z takiego audytu powstaje przez porównanie ustawień konfiguracyjnych danego systemu z listą dobrych praktyk (reguł), która wywodzi się z Microsoft Information Security & Risk Management Deployment Review Standards, używanych wewnętrznie do zabezpieczenia środowisk produkcyjnych i pre-produkcyjnych hostujących aplikacje biznesowe. Została ona utworzona przez zespół profesjonalistów, zajmujących się zabezpieczaniem takich środowisk.

Raport podzielony jest na trzy oddzielne kategorie: General Applications, IIS Aplications i SQL Applications. Każdą kategorię można rozwinąć w celu prezentacji szczegółów poszczególnych reguł.

W większości przypadków, regułę opisuje już sam jej nagłówek, aczkolwiek możemy uzyskać dalsze szczegóły w raporcie wynikowym, wraz z zaleceniami naprawczymi dla tych z nich, które nie przeszły testów pomyślnie. Każda reguła może być wykluczona w celu uniknięcia poprawnych ustawień błednie sklasyfikowanych jako niepoprawne (false positives). Reguły wykluczone są przechowywane w oddzielnym pliku, co pozwala na łatwe ich przywrócenie.

Polecamy: Spokojnie, to tylko awaria

Dla wykonania skanowania potrzebne będą pełne uprawnienia administratora, wraz z uprawnieniami administratora SQL Server do każdej instancji SQL, którą narzędzie ma sprawdzić. Lokalne skanowanie w na ogół nie zajmuje więcej dwie minuty.