Was ist Microsoft Baseline Security Analyzer und seine Verwendung?

Microsoft Baseline Security Analyzer (MBSA) wird verwendet, um die Patch-Compliance zu überprüfen. MBSA hat auch mehrere andere Sicherheitsüberprüfungen für Windows, IIS und SQL Server durchgeführt. Leider wurde die Logik hinter diesen zusätzlichen Überprüfungen seit Windows XP und Windows Server 2003 nicht aktiv aufrechterhalten. Änderungen in den Produkten haben seitdem viele dieser Sicherheitsüberprüfungen veraltet und einige ihrer Empfehlungen kontraproduktiv gemacht.

MBSA wurde größtenteils in Situationen verwendet, in denen Microsoft Update einen lokalen WSUS- oder Configuration Manager-Server nicht verfügbar war, oder als Compliancetool, um sicherzustellen, dass alle Sicherheitsupdates in einer verwalteten Umgebung bereitgestellt wurden. Während MBSA Version 2.3 Unterstützung für Windows Server 2012 R2 und Windows 8.1 eingeführt hat, ist es inzwischen veraltet und nicht mehr entwickelt. MBSA 2.3 wird nicht aktualisiert, um Windows 10 und Windows Server 2016 vollständig zu unterstützen.

Hinweis

Gemäß unserer Sha-1-Deprecation-Initiative ist die Wsusscn2.cab Datei nicht mehr mit SHA-1 und der SHA-2-Suite von Hashalgorithmen (insbesondere SHA-256) dual signiert. Diese Datei ist jetzt nur mit SHA-256 signiert. Administratoren, die digitale Signaturen für diese Datei überprüfen, sollten jetzt nur noch einzelne SHA-256-Signaturen erwarten. Ab der Datei vom August 2020 Wsusscn2.cab gibt MBSA den folgenden Fehler zurück: "Die Katalogdatei ist beschädigt oder ein ungültiger Katalog." beim Versuch, mithilfe der Offlinescandatei zu scannen.

Die Lösung

Ein Skript kann Ihnen bei einer Alternative zur Patch-Compliance-Überprüfung von MBSA helfen:

Zum Beispiel:

VBS-Skript. PowerShell-Skript.

In den vorherigen Skripts wird die WSUS-Offlinescandatei (wsusscn2.cab) verwendet, um einen Scan durchzuführen und dieselben Informationen zu fehlenden Updates wie mbsa zu erhalten. MBSA nutzte auch die wsusscn2.cab, um zu ermitteln, welche Updates in einem bestimmten System fehlen, ohne eine Verbindung mit einem Onlinedienst oder Server herzustellen. Die wsusscn2.cab Datei ist weiterhin verfügbar, und es gibt derzeit keine Pläne, sie zu entfernen oder zu ersetzen. Die wsusscn2.cab-Datei enthält nur die Metadaten von Sicherheitsupdates, Updaterollups und Service Packs, die über Microsoft Update verfügbar sind. es enthält keine Informationen zu nicht sicherheitsrelevanten Updates, Tools oder Treibern.

Weitere Informationen

Für die Sicherheitscompliance und für die Desktop-/Serverhärtung empfehlen wir die Microsoft Security Baselines und das Security Compliance Toolkit.