Was ist Microsoft Baseline Security Analyzer und seine Verwendungsmöglichkeiten?
Microsoft Baseline Security Analyzer (MBSA) wird verwendet, um die Patchkonformität zu überprüfen. MBSA hat auch mehrere weitere Sicherheitsüberprüfungen für Windows, IIS und SQL Server durchgeführt. Leider wurde die Logik hinter diesen zusätzlichen Überprüfungen seit Windows XP und Windows Server 2003 nicht mehr aktiv verwaltet. Änderungen an den Produkten haben seitdem viele dieser Sicherheitsüberprüfungen veraltet und einige ihrer Empfehlungen kontraproduktiv gemacht.
MBSA wurde größtenteils in Situationen verwendet, in denen Microsoft Update ein lokaler WSUS- oder Configuration Manager-Server nicht verfügbar war, oder als Compliancetool, um sicherzustellen, dass alle Sicherheitsupdates in einer verwalteten Umgebung bereitgestellt wurden. Während MBSA Version 2.3 unterstützung für Windows Server 2012 R2 und Windows 8.1 eingeführt hat, ist sie seitdem veraltet und nicht mehr entwickelt. MBSA 2.3 wurde nicht aktualisiert, um Windows 10 und Windows Server 2016 vollständig zu unterstützen.
Hinweis
Gemäß unserer Sha-1-Einstellungsinitiative ist die datei Wsusscn2.cab nicht mehr mit SHA-1 und der SHA-2-Suite von Hashalgorithmen (insbesondere SHA-256) dual signiert. Diese Datei ist jetzt nur mit SHA-256 signiert. Administratoren, die digitale Signaturen für diese Datei überprüfen, sollten jetzt nur noch einzelne SHA-256-Signaturen erwarten. Ab august 2020 Wsusscn2.cab Datei gibt MBSA den folgenden Fehler "Die Katalogdatei ist beschädigt oder ein ungültiger Katalog" zurück, wenn versucht wird, die Überprüfung mithilfe der Offlinescandatei durchzuführen.
Lösung
Ein Skript kann Ihnen bei einer Alternative zur Patchkonformitätsüberprüfung von MBSA helfen:
- Verwenden von WUA zum Suchen nach Updates Offline, das ein VBS-Beispielskript enthält. Eine PowerShell-Alternative finden Sie unter Verwenden von WUA zum Suchen nach Updates Offline mit PowerShell.
Zum Beispiel:
Die obigen Skripts verwenden die WSUS-Offlinescandatei (wsusscn2.cab), um eine Überprüfung durchzuführen und die gleichen Informationen zu fehlenden Updates zu erhalten, die MBSA bereitgestellt hat. MBSA hat sich auch auf die wsusscn2.cab verlassen, um zu bestimmen, welche Updates in einem bestimmten System fehlten, ohne eine Verbindung mit einem Onlinedienst oder Server herzustellen. Die wsusscn2.cab-Datei ist weiterhin verfügbar, und es gibt derzeit keine Pläne, sie zu entfernen oder zu ersetzen. Die wsusscn2.cab-Datei enthält nur die Metadaten von Sicherheitsupdates, Updaterollups und Service Packs, die von Microsoft Update verfügbar sind. Es enthält keine Informationen zu nicht sicherheitsrelevanten Updates, Tools oder Treibern.
Weitere Informationen
Für die Sicherheitskonformität und für die Desktop-/Serverhärtung empfehlen wir die Microsoft-Sicherheitsbaselines und das Security Compliance Toolkit.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für