¿Qué es Microsoft Baseline Security Analyzer y sus usos?

Microsoft Baseline Security Analyzer (MBSA) se usa para comprobar el cumplimiento de revisiones. MBSA también realizó otras comprobaciones de seguridad para Windows, IIS y SQL Server. Desafortunadamente, la lógica detrás de estas comprobaciones adicionales no se había mantenido activamente desde Windows XP y Windows Server 2003. Los cambios en los productos desde entonces han dejado obsoletas muchas de estas comprobaciones de seguridad y algunas de sus recomendaciones son contraproducentes.

MBSA se usaba en gran medida en situaciones en las que Microsoft Update no estaba disponible para un servidor WSUS o Configuration Manager local, o como una herramienta de cumplimiento para garantizar que todas las actualizaciones de seguridad se implementaron en un entorno administrado. Aunque MBSA versión 2.3 introdujo compatibilidad con Windows Server 2012 R2 y Windows 8.1, desde entonces ha quedado en desuso y ya no se ha desarrollado. MBSA 2.3 no se ha actualizado para admitir completamente Windows 10 y Windows Server 2016.

Nota

De acuerdo con nuestra iniciativa de desuso de SHA-1, el archivo Wsusscn2.cab ya no tiene firma dual mediante SHA-1 y el conjunto de algoritmos hash SHA-2 (específicamente SHA-256). Este archivo se ha firmado con solo SHA-256. Los administradores que comprueben las firmas digitales en este archivo ahora solo deben esperar firmas SHA-256 únicas. A partir del archivo de Wsusscn2.cab de agosto de 2020, MBSA devolverá el siguiente error"El archivo de catálogo está dañado o un catálogo no válido" al intentar examinar con el archivo de examen sin conexión.

Solución

Un script puede ayudarle con una alternativa a la comprobación de cumplimiento de revisiones de MBSA:

Por ejemplo:

Captura de pantalla que muestra el script vbs.Captura de pantalla que muestra el script de PowerShell.

Los scripts anteriores usan el archivo de examen sin conexión de WSUS (wsusscn2.cab) para realizar un examen y obtener la misma información sobre las actualizaciones que faltan como se proporcionó en MBSA. MBSA también se basó en la wsusscn2.cab para determinar qué actualizaciones faltaban de un sistema determinado sin conectarse a ningún servicio o servidor en línea. El archivo wsusscn2.cab sigue estando disponible y actualmente no hay planes para quitarlo o reemplazarlo. El archivo wsusscn2.cab contiene los metadatos de solo actualizaciones de seguridad, paquetes acumulativos de actualizaciones y service packs disponibles en Microsoft Update; no contiene información sobre actualizaciones, herramientas o controladores que no sean de seguridad.

Más información

Para el cumplimiento de la seguridad y para la protección de escritorio y servidor, se recomiendan las líneas base de seguridad de Microsoft y el kit de herramientas de cumplimiento de seguridad.