Microsoft Attack Surface Analyzer (ASA) erzeugt mit Vorher-/Nachher-Scans oder Live-Monitoring umfangreiche Berichte, die Systemänderungen nachvollziehbar dokumentieren. ASA hält somit fest, welche Änderungen ein Script oder eine Softwareinstallation am System durchgeführt hat. Die erzeugten Berichte könnten zur Analyse und Systemoptimierung (z.B. System-Härtung / System Hardening) verwendet werden.
Inhaltsverzeichnis
Kostenloser Download
Microsoft führt den Attack Surface Analyzer (ASA) zwar in den eigenen Downloads, verteilt dort aber nur eine Readme.txt mit dem Link zu GitHub.
Funktionsumfang
Attack Surface Analyzer erkennt Änderungen in folgenden Systembereichen und erzeugt einen übersichtlichen Bericht:
– File system (static snapshot and live monitoring available)
– User accounts
– Services
– Network Ports
– Certificates
– Registry
– COM Objects
– Ereignisanzeige / Event Logs
– Firewall Settings
– Wifi Networks
– Cryptographic Keys
– Processes
– TPM Information
Quelle: GitHub.com
Static Scan oder Live Monitoring?
ASA kann Änderungen via Vorher-/Nachher-Scans oder Live-Monitoring erfassen.
Static Scan
Beim statischen Scan wird zunächst der ursprüngliche Systemzustand analysiert und in einem Snapshot festgehalten. Nach der Systemänderungen (z.B.: Softwareinstallation), wird ein erneuter Scan durchgeführt.
Live Monitoring
Dokumentiert Änderungen die während des aktivierten Live Monitorings stattfinden. Nicht empfehlenswert wenn der aufzuzeichnende Vorgang einen Windows Neustart erfordert!
Microsoft Attack Surface Analyzer (ASA) im GUI Mode ausführen
Der Analyzer kann im CLI oder GUI-Modus ausgeführt werden.
- PowerShell mit Administratorrechten öffnen
- In das zuvor heruntergeladene und entpackte ASA-Verzeichnis wechseln (z.B.
cd C:\asa) .\asa.exe guiausführen:
- Browser mit http://localhost:5000 wird geöffnet:
Static Scan ausführen
- Scan Type: Static Scan (vorausgewählt)
- Choose Collectors: bereits vorausgewählt (ggf. anpassen)
- Collect Data ausführen (Vorher-Scan)
- Aktueller Systemzustand wird aufgezeichnet:
- Aufzeichnung beendet:
- Gewünschten Vorgang durchführen: z.B. Software aktualisieren/installieren…
- Erneut Collect Data ausführen (Nachher-Scan):
- Aufzeichnung beendet:
Ergebnisse analysieren
- Results öffnen
- Base Run Id: Vorher-Scan auswählen
- Product Run Id: Nachher-Scan auswählen
- Run Analysis ausführen
- Darstellung der Analyse (erkannte Änderungen) werden dargestellt:
- Unter „Select a type of result to view.“ können die aufgezeichneten Systembereiche ausgewählt werden. Falls in diesem Bereich keine Aufzeichnungen gemacht wurden, wird %Error.NoDifference angezeigt:
Fazit
Microsoft Attack Surface Analyzer (ASA) hält sehr detailliert fest, was während der Aufzeichnung passiert. Eine kompaktere, schnellere Alternative kann in manchen Fällen der ebenfalls kostenlose Sysinternals Process Monitor sein.